Microsoft VSCode、悪意ある拡張機能を多数発見
マイナビニュース / 2024年6月12日 13時46分
Mediumはこのほど、「3/6|A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions|by Amit Assaraf|Jun, 2024|Medium」において、Microsoft Visual Studio Codeの拡張機能にセキュリティ上の欠陥が驚くほど多数存在すると伝えた。MicrosoftおよびVisual Studio Codeを利用するすべての企業に至急の対策を推奨している。
○Visual Studio Code拡張機能の欠陥とは
Mediumが指摘したVisual Studio Code拡張機能におけるセキュリティ上の欠陥は次のとおり。
権限モデルがない。拡張機能はすべての機能を使用できる。テーマに分類される拡張機能は一般的に視覚的な設定権限だけを必要とするが、コードの実行やファイルの読み書きもできる
設定を変更しない限り拡張機能はバックグラウンドで自動的に更新される。攻撃者が途中から悪意のある処理を加えてもユーザーは気づくことができない
拡張機能にはサンドボックスなどの保護がない。攻撃者は拡張機能を介してバックドアの設置、機密情報の窃取、マルウェアの展開、システムの乗っ取りなどあらゆるサイバー攻撃を展開できる
セキュリティソリューションによる検出はほぼ不可能。Visual Studio Codeは開発者自身がさまざまなプログラムを構築、テストするためその動作を「ただのバグ」か「不正な動作」なのかを認識できない
公式の「Visual Studio Marketplace」に拡張機能のコードレビューはない。「認証済みパブリッシャー」を意味する「確認済みバッジ」は年間数ドルのDNS認証済みドメインをアカウントに追加するだけで取得できる。利用者はバッジを安全性の指標として使えない
拡張機能の開発者向けユーティリティ「GitHub - microsoft/vscode-vsce: VS Code Extension Manager」には、現在開いているフォルダ全体をパッケージ化する欠陥がある。Mediumは数千のパッケージから認証情報やソースコードを発見している
○セキュリティ上の欠陥を検証する実験
Mediumはセキュリティ上の欠陥を検証するため、「問題のない範囲の情報窃取能力」を持つ拡張機能の配布実験を実施している。実験では、人気のある拡張テーマ「Dracula Official」のタイポスクワッティング拡張テーマ「Darcula Official」を公式マーケットプレイスから配布している。
-
-
- 1
- 2
-
この記事に関連するニュース
-
VS Code用.NET MAUI拡張機能、新機能も追加して一般提供開始
マイナビニュース / 2024年6月17日 14時37分
-
開発エクスペリエンス向上に新REPLを搭載するVisual Studio Code用Python
マイナビニュース / 2024年6月7日 11時33分
-
Visual Studio 17.10に導入された新しい拡張機能マネージャーとは
マイナビニュース / 2024年6月6日 13時31分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
-
Visual Studio Code向けAIツールキット公開、Microsoft
マイナビニュース / 2024年5月28日 10時44分
ランキング
-
1「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
2ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
ITmedia エンタープライズ / 2024年6月25日 7時15分
-
3「まるでガラケー」折りたたみ式のスマホを支える「有機EL」の特徴 大画面のメリット探る
よろず~ニュース / 2024年6月25日 11時0分
-
4iPhoneのSuicaが改札で反応しない原因は? 対処法も解説
ITmedia Mobile / 2024年6月25日 6時5分
-
5「ニコニコチャンネル+」28日にサービス再開へ ログイン方式は変更に
ITmedia NEWS / 2024年6月25日 15時52分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)