Microsoft Visual Studio 产品的安全更新（2023 年 3 月）

high Nessus 插件 ID 172528

语言：

简介

Microsoft Visual Studio 产品受到多个漏洞的影响。

描述

Microsoft Visual Studio 产品缺少安全更新。因此，它受到多个漏洞影响：

- 使用特制的存储库时，低于 2.39.2、2.38.4、2.37.6、2.36.5、2.35.7、2.34.7、2.33.7、2.32.6、2.31.7 和 2.30.8 版本的 Git 可被诱骗使用其本地克隆优化，即便在使用非本地传输时也不例外。
变通方案是避免从带 --recurse-submodules 的不受信任的来源克隆存储库。相反，考虑在不以递归方式克隆其子模块的情况下克隆存储库，并在每一层运行“git submodule update”。执行此操作之前，请检查每个新的“.gitmodules”文件以确保其中不包含可疑的模块 URL。(CVE-2023-22490)

- 对于低于 Git for Windows 2.39.2 的版本，精心构建 DLL 并将其放入位于 Git for Windows 安装程序旁的特定名称的子目录，即可诱骗 Windows 侧载所述 DLL。这可能允许具有本地写入权限的用户将恶意负载放置在自动升级可能用以提升运行 Git for Windows 安装程序的位置。如果升级不切实际，请在执行 Git for Windows 安装程序之前将不受信任的文件保留在 Downloads 文件夹或其子文件夹中，或者在执行之前将安装程序移动到其他目录。
(CVE-2023-22743)

- 对于低于 Git for Windows 2.39.2 的版本，当 gitk 在 Windows 上运行时，它可能无意中运行当前目录中的可执行文件，攻击者可通过一些社交工程对此加以利用，以诱骗用户运行不受信任的代码。变通方案是避免在不受信任的存储库克隆中使用 gitk（或 Git 可视化历史记录功能）。(CVE-2023-23618)

- 低于 2.39.2、2.38.4、2.37.6、2.36.5、2.35.7、2.34.7、2.33.7、2.32.6、2.31.7 和 2.30.8 的 Git 版本易受路径遍历影响。向“git apply”提供特制的输入，即可以运行“git apply”的用户身份覆盖工作树之外的路径。变通方案是，使用 `git apply --stat` 在应用前检查修补程序；避免应用会创建符号链接然后在符号链接之外创建文件的链接。(CVE-2023-23946)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

Microsoft 已发布下列安全更新以解决此问题：
- Visual Studio 2017 的 Update 15.9.53
- Visual Studio 2019 的 Update 16.11.25
- Visual Studio 2022 的 Update 17.0.20
- Visual Studio 2022 的 Update 17.2.14
- Visual Studio 2022 的 Update 17.4.6
- Visual Studio 2022 的 Update 17.5.2