<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>VSCode &#8211; CyberCalm</title>
	<atom:link href="https://cybercalm.org/topic/vscode/feed/" rel="self" type="application/rss+xml" />
	<link>https://cybercalm.org</link>
	<description>Кіберзахист та технології простою мовою</description>
	<lastBuildDate>Thu, 19 Feb 2026 07:55:29 +0000</lastBuildDate>
	<language>uk</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://cybercalm.org/wp-content/uploads/2025/10/favicon-1.svg</url>
	<title>VSCode &#8211; CyberCalm</title>
	<link>https://cybercalm.org</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Критичні вразливості в розширеннях VSCode загрожують розробникам</title>
		<link>https://cybercalm.org/vrazlyvosti-vscode-rozshyrennia/</link>
		
		<dc:creator><![CDATA[Семенюк Валентин]]></dc:creator>
		<pubDate>Thu, 19 Feb 2026 10:00:54 +0000</pubDate>
				<category><![CDATA[Кібербезпека]]></category>
		<category><![CDATA[VSCode]]></category>
		<category><![CDATA[вразливості]]></category>
		<category><![CDATA[розробка ПЗ]]></category>
		<guid isPermaLink="false">https://cybercalm.org/?p=163129</guid>

					<description><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/02/19095412/an-integrated-developer-environment-and-the-vs-code-logo-in-the-center-3664359772.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/vrazlyvosti-vscode-rozshyrennia/">Критичні вразливості в розширеннях VSCode загрожують розробникам</a></p>
<p>Виявлено критичні вразливості у VSCode розширеннях з 128 мільйонами завантажень. Code Runner, Live Server та Markdown Preview Enhanced дозволяють віддалене виконання коду.</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/vrazlyvosti-vscode-rozshyrennia/">Критичні вразливості в розширеннях VSCode загрожують розробникам</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/valentyn/">Семенюк Валентин</a></p>
]]></description>
										<content:encoded><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2026/02/19095412/an-integrated-developer-environment-and-the-vs-code-logo-in-the-center-3664359772.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/vrazlyvosti-vscode-rozshyrennia/">Критичні вразливості в розширеннях VSCode загрожують розробникам</a></p>
<p>Дослідники виявили вразливості з високим та критичним рівнем небезпеки в популярних розширеннях Visual Studio Code, які сумарно завантажили понад 128 мільйонів разів. Ці проблеми безпеки дозволяють зловмисникам викрадати локальні файли та виконувати код віддалено на комп&#8217;ютерах розробників.<span id="more-163129"></span></p>
<p>Уразливості впливають на розширення <strong>Code Runner</strong> (CVE-2025-65715), <strong>Markdown Preview Enhanced</strong> (CVE-2025-65716, CVE-2025-65717) та <strong>Microsoft Live Preview</strong> (ідентифікатор не присвоєно). Команда безпеки Ox Security намагалася повідомити про проблеми з червня 2025 року, але жоден з підтримувачів не відповів.</p>
<h2>Віддалене виконання коду через популярні розширення</h2>
<p>Розширення VSCode працюють зі значним доступом до локального середовища розробки, включно з файлами, терміналами та мережевими ресурсами. Ox Security опублікувала звіти про кожну вразливість і попередила, що використання уражених розширень може призвести до латерального руху в корпоративній мережі, витоку даних та захоплення систем.</p>
<p><a style="cursor: pointer !important; user-select: none !important;" href="https://www.ox.security/blog/cve-2025-65717-live-server-vscode-vulnerability/" target="_blank" rel="noopener">Критична вразливість CVE-2025-65717</a> в розширенні Live Server (понад 72 мільйони завантажень у VSCode) дозволяє зловмисникам викрадати локальні файли, перенаправивши жертву на шкідливу веб-сторінку. Вразливість <a href="https://www.ox.security/blog/cve-2025-65715-code-runner-vscode-rce/" target="_blank" rel="noopener">CVE-2025-65715</a> в Code Runner (37 мільйонів завантажень) дозволяє віддалене виконання коду через зміну конфігураційного файлу розширення. Це можна здійснити, змусивши ціль вставити шкідливий фрагмент конфігурації в глобальний файл settings.json.</p>
<h2>XSS та доступ до конфіденційних даних</h2>
<p>Вразливість <a href="https://www.ox.security/blog/cve-2025-65716-markdown-preview-enhanced-vscode-vulnerability/" target="_blank" rel="noopener">CVE-2025-65716</a> з високим рівнем небезпеки 8.8 впливає на Markdown Preview Enhanced (8.5 мільйонів завантажень) і може використовуватися для виконання JavaScript через спеціально створений Markdown-файл. Дослідники також виявили one-click XSS вразливість у версіях Microsoft Live Preview до 0.4.16, яку можна експлуатувати для доступу до конфіденційних файлів на машині розробника. Це розширення має понад 11 мільйонів завантажень.</p>
<p><iframe title="CVE-2025-65717: Live Server VSCode Extension Allows Remote File Exfiltration" width="1240" height="698" src="https://www.youtube.com/embed/H8Osp1ts5vI?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe></p>
<p>Вразливості також стосуються <strong>Cursor</strong> та <strong>Windsurf</strong> — AI-powered IDE, сумісних з VSCode. Звіт Ox Security підкреслює, що ризики від експлуатації цих проблем включають pivoting в мережі та крадіжку конфіденційних даних, таких як API-ключі та конфігураційні файли.</p>
<h2>Рекомендації з безпеки для розробників</h2>
<p>Розробникам радять уникати запуску localhost-серверів без необхідності, відкриття недовіреного HTML під час їх роботи та застосування недовірених конфігурацій або вставки фрагментів коду в settings.json. Також рекомендується видалити непотрібні розширення та встановлювати лише ті, що походять від надійних видавців.</p>
<p>Важливо моніторити несподівані зміни налаштувань та регулярно перевіряти встановлені розширення на предмет відомих вразливостей. Ці базові заходи безпеки можуть значно знизити ризики компрометації середовища розробки.</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/vrazlyvosti-vscode-rozshyrennia/">Критичні вразливості в розширеннях VSCode загрожують розробникам</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/valentyn/">Семенюк Валентин</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://cdn.cybercalm.org/wp-content/uploads/2026/02/19095412/an-integrated-developer-environment-and-the-vs-code-logo-in-the-center-3664359772.jpg" />	</item>
	</channel>
</rss>
