Een onderzoeker van Google heeft een kwetsbaarheid in Microsoft Visual Studio Code gevonden waardoor remote code execution mogelijk is. Alleen het bezoeken van een malafide website of openen van een malafide link is voldoende voor een aanvaller om code op het systeem van gebruikers uit te voeren en machines waar ze via de Visual Studio Code Remote Development feature verbonden mee waren.

Het probleem raakte GitHub Codespaces, github.dev, de webversie van Visual Studio Code for Web en in iets mindere mate Visual Studio Code desktop. Google-onderzoeker Thomas Shadwell die het probleem ontdekte stelt dat het om een kritieke kwetsbaarheid gaat, hoewel hij op een andere pagina de impact als 'high' bestempelt. Microsoft classificeert het beveiligingslek als "belangrijk" met een impactscore van 7,8 op een schaal van 1 tot en met 10.

Visual Studio Code is een editor voor het ontwikkelen van applicaties. Shadwell ontdekte een manier waardoor het via een malafide link of website mogelijk is om Visual Studio Code remote content van een server te laten laden die in 'trusted mode' op het systeem wordt uitgevoerd, waarmee een aanvaller vervolgens commando's op het systeem kan uitvoeren alsof die van de gebruiker afkomstig zijn. De kwetsbaarheid, aangeduid als CVE-2022-41034, werd op 24 augustus aan Microsoft gerapporteerd en op 11 oktober met een beveiligingsupdate verholpen.