Microsoft VSCode、悪意ある拡張機能を多数発見
マイナビニュース / 2024年6月12日 13時46分
Mediumはこのほど、「3/6|A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions|by Amit Assaraf|Jun, 2024|Medium」において、Microsoft Visual Studio Codeの拡張機能にセキュリティ上の欠陥が驚くほど多数存在すると伝えた。MicrosoftおよびVisual Studio Codeを利用するすべての企業に至急の対策を推奨している。
○Visual Studio Code拡張機能の欠陥とは
Mediumが指摘したVisual Studio Code拡張機能におけるセキュリティ上の欠陥は次のとおり。
権限モデルがない。拡張機能はすべての機能を使用できる。テーマに分類される拡張機能は一般的に視覚的な設定権限だけを必要とするが、コードの実行やファイルの読み書きもできる
設定を変更しない限り拡張機能はバックグラウンドで自動的に更新される。攻撃者が途中から悪意のある処理を加えてもユーザーは気づくことができない
拡張機能にはサンドボックスなどの保護がない。攻撃者は拡張機能を介してバックドアの設置、機密情報の窃取、マルウェアの展開、システムの乗っ取りなどあらゆるサイバー攻撃を展開できる
セキュリティソリューションによる検出はほぼ不可能。Visual Studio Codeは開発者自身がさまざまなプログラムを構築、テストするためその動作を「ただのバグ」か「不正な動作」なのかを認識できない
公式の「Visual Studio Marketplace」に拡張機能のコードレビューはない。「認証済みパブリッシャー」を意味する「確認済みバッジ」は年間数ドルのDNS認証済みドメインをアカウントに追加するだけで取得できる。利用者はバッジを安全性の指標として使えない
拡張機能の開発者向けユーティリティ「GitHub - microsoft/vscode-vsce: VS Code Extension Manager」には、現在開いているフォルダ全体をパッケージ化する欠陥がある。Mediumは数千のパッケージから認証情報やソースコードを発見している
○セキュリティ上の欠陥を検証する実験
Mediumはセキュリティ上の欠陥を検証するため、「問題のない範囲の情報窃取能力」を持つ拡張機能の配布実験を実施している。実験では、人気のある拡張テーマ「Dracula Official」のタイポスクワッティング拡張テーマ「Darcula Official」を公式マーケットプレイスから配布している。
-
-
- 1
- 2
-
この記事に関連するニュース
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
VS Code用.NET MAUI拡張機能、新機能も追加して一般提供開始
マイナビニュース / 2024年6月17日 14時37分
-
ランサムウェア「TargetCompany」が進化、VMware ESXiを狙う
マイナビニュース / 2024年6月10日 7時26分
-
開発エクスペリエンス向上に新REPLを搭載するVisual Studio Code用Python
マイナビニュース / 2024年6月7日 11時33分
-
Visual Studio 17.10に導入された新しい拡張機能マネージャーとは
マイナビニュース / 2024年6月6日 13時31分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2様子見していたあのゲーム、今こそ買い時かも!特選Steamサマーセール「過去最安」編【Steamサマーセール2024年夏】
Game*Spark / 2024年6月30日 16時0分
-
3iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
4別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
5変わり種「スウォッチ」おすすめ4選 オープンダイヤル×メタル素材のモデルに注目!【2024年6月版】
Fav-Log by ITmedia / 2024年6月30日 6時15分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)