Een onderzoeker van Google heeft een kwetsbaarheid in Microsoft Visual Studio Code gevonden waardoor remote code execution mogelijk is. Alleen het bezoeken van een malafide website of openen van een malafide link is voldoende voor een aanvaller om code op het systeem van gebruikers uit te voeren en machines waar ze via de Visual Studio Code Remote Development feature verbonden mee waren.
Het probleem raakte GitHub Codespaces, github.dev, de webversie van Visual Studio Code for Web en in iets mindere mate Visual Studio Code desktop. Google-onderzoeker Thomas Shadwell die het probleem ontdekte stelt dat het om een kritieke kwetsbaarheid gaat, hoewel hij op een andere pagina de impact als 'high' bestempelt. Microsoft classificeert het beveiligingslek als "belangrijk" met een impactscore van 7,8 op een schaal van 1 tot en met 10.
Visual Studio Code is een editor voor het ontwikkelen van applicaties. Shadwell ontdekte een manier waardoor het via een malafide link of website mogelijk is om Visual Studio Code remote content van een server te laten laden die in 'trusted mode' op het systeem wordt uitgevoerd, waarmee een aanvaller vervolgens commando's op het systeem kan uitvoeren alsof die van de gebruiker afkomstig zijn. De kwetsbaarheid, aangeduid als CVE-2022-41034, werd op 24 augustus aan Microsoft gerapporteerd en op 11 oktober met een beveiligingsupdate verholpen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.