Уязвимость Open VSX позволяла злоумышленным расширениям VS Code обходить проверки безопасности
Был обнаружен и исправлен баг в Open VSX, который позволял злоумышленным расширениям Microsoft Visual Studio Code (VS Code) обходить проверки безопасности и появляться в реестре. Это вызвало обеспокоенность среди исследователей кибербезопасности. Уязвимость могла быть использована для распространения вредоносного ПО.
Подробности
Уязвимость была обнаружена в процессе сканирования перед публикацией в Open VSX. Pipeline имел единственное логическое значение возвращения, которое означало как "никакие сканеры не настроены", так и "все сканеры не смогли запуститься". Это позволяло злоумышленникам создавать вредоносные расширения, которые могли обходить проверки безопасности. К счастью, уязвимость уже исправлена, но исследователи кибербезопасности подчеркивают важность постоянной проверки и тестирования систем безопасности.Что делать
Пользователям VS Code рекомендуется регулярно обновлять свои расширения и проверять их подлинность. Кроме того, разработчикам следует использовать безопасные методы разработки и тестирования своих расширений. Это поможет предотвратить распространение вредоносных расширений и поддерживать безопасность экосистемы VS Code. Итог: Исправление уязвимости в Open VSX является важным шагом в поддержании безопасности экосистемы VS Code. Пользователям и разработчикам следует быть бдительными и следовать лучшим практикам безопасности, чтобы предотвратить распространение вредоносных расширений.Источник: The Hacker News