Microsoft VSCode、悪意ある拡張機能を多数発見
マイナビニュース / 2024年6月12日 13時46分
Mediumはこのほど、「3/6|A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions|by Amit Assaraf|Jun, 2024|Medium」において、Microsoft Visual Studio Codeの拡張機能にセキュリティ上の欠陥が驚くほど多数存在すると伝えた。MicrosoftおよびVisual Studio Codeを利用するすべての企業に至急の対策を推奨している。
○Visual Studio Code拡張機能の欠陥とは
Mediumが指摘したVisual Studio Code拡張機能におけるセキュリティ上の欠陥は次のとおり。
権限モデルがない。拡張機能はすべての機能を使用できる。テーマに分類される拡張機能は一般的に視覚的な設定権限だけを必要とするが、コードの実行やファイルの読み書きもできる
設定を変更しない限り拡張機能はバックグラウンドで自動的に更新される。攻撃者が途中から悪意のある処理を加えてもユーザーは気づくことができない
拡張機能にはサンドボックスなどの保護がない。攻撃者は拡張機能を介してバックドアの設置、機密情報の窃取、マルウェアの展開、システムの乗っ取りなどあらゆるサイバー攻撃を展開できる
セキュリティソリューションによる検出はほぼ不可能。Visual Studio Codeは開発者自身がさまざまなプログラムを構築、テストするためその動作を「ただのバグ」か「不正な動作」なのかを認識できない
公式の「Visual Studio Marketplace」に拡張機能のコードレビューはない。「認証済みパブリッシャー」を意味する「確認済みバッジ」は年間数ドルのDNS認証済みドメインをアカウントに追加するだけで取得できる。利用者はバッジを安全性の指標として使えない
拡張機能の開発者向けユーティリティ「GitHub - microsoft/vscode-vsce: VS Code Extension Manager」には、現在開いているフォルダ全体をパッケージ化する欠陥がある。Mediumは数千のパッケージから認証情報やソースコードを発見している
○セキュリティ上の欠陥を検証する実験
Mediumはセキュリティ上の欠陥を検証するため、「問題のない範囲の情報窃取能力」を持つ拡張機能の配布実験を実施している。実験では、人気のある拡張テーマ「Dracula Official」のタイポスクワッティング拡張テーマ「Darcula Official」を公式マーケットプレイスから配布している。
-
-
- 1
- 2
-
この記事に関連するニュース
-
ゲームアプリやSNS装った4つのAndroidアプリ、実はトロイの木馬
マイナビニュース / 2024年7月3日 8時26分
-
VS Code用.NET MAUI拡張機能、新機能も追加して一般提供開始
マイナビニュース / 2024年6月17日 14時37分
-
ランサムウェア「TargetCompany」が進化、VMware ESXiを狙う
マイナビニュース / 2024年6月10日 7時26分
-
開発エクスペリエンス向上に新REPLを搭載するVisual Studio Code用Python
マイナビニュース / 2024年6月7日 11時33分
-
Visual Studio 17.10に導入された新しい拡張機能マネージャーとは
マイナビニュース / 2024年6月6日 13時31分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
3「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
4NFTでバンクシーを分割販売、アート市場の民主化目指すUAEスタートアップ10101.art
Techable / 2024年7月3日 12時0分
-
5坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)