リリース日: 2021 年 1 月 12 日

セキュリティ アドバイザリ メモ

CVE-2021-1651 / CVE-2021-1680 診断ハブ標準コレクター サービスの特権の昇格の脆弱性

診断ハブ標準コレクターがデータ操作を適切に処理しなかった場合、特権の昇格の脆弱性が存在します。

CVE-2020-26870 Visual Studio インストーラーのリモート コード実行の脆弱性

Visual Studio インストーラーが悪意のあるマークダウンを表示しようとする場合、リモート コード実行の脆弱性が存在します。

CVE-2021-1723ASP.NET Core と Visual Studio サービス拒否の脆弱性

Kestrel が HTTP/2 要求を解析する方法に、サービス拒否の脆弱性が存在します。

この Visual Studio 2019 バージョン 16.8.4 リリースで対処されたイシュー

• 以前のバージョンの Visual Studio で Visual Studio Marketplace から IntelliCode が以前にインストールされていた場合に、C# 固有の IntelliCode コンポーネントがインストールされないイシューを修正しました
• PackageReference プロジェクトが PackageReference の依存関係を持つ packages.config プロジェクトを参照するときに、推移的なプロジェクト参照が考慮されるようになりました。
• Xcode 12.3 のサポートが追加されました。
• x86_64 watchOS 7.0 以上のシミュレーターのサポートが修正されました

Visual Studio インストーラーの脆弱性には対処が必要になってきます。

可能性は微小だとは思いますが、使っているパソコンに残骸が残っていると、脆弱性を疲れる可能性があるように読めます。

年明け一回目のバージョンアップなので、セキュリティ関連が多かったのですが、読んでみるといいかもしれません。