Visual Studio Code等IDE存在新漏洞,恶意扩展可绕过验证状态
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
最新研究表明,多个集成开发环境(IDE)存在扩展验证缺陷,攻击者可利用此漏洞在开发者设备上执行恶意代码。开发者应从官方市场安装扩展,避免使用网络分享的文件。
🎯
关键要点
- 最新研究显示多个集成开发环境(IDE)存在扩展验证缺陷。
- 攻击者可利用此漏洞在开发者设备上执行恶意代码。
- Visual Studio Code存在验证检查缺陷,允许恶意扩展伪装为已验证状态。
- 攻击方法是创建与已验证扩展相同验证值的恶意扩展。
- 缺乏严格的代码签名机制使得看似合法的扩展可能隐藏危险脚本。
- 该漏洞在IntelliJ IDEA和Cursor等其他IDE中同样存在。
- 微软回应称该行为属于设计预期,但漏洞仍可被利用。
- 研究人员警告攻击者能够向扩展注入恶意代码,构成严重风险。
- 开发者应从官方市场安装扩展,避免使用网络分享的VSIX文件。
➡️
