Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Кібербезпека
    КібербезпекаПоказати ще
    Шахраї телефонують користувачам Microsoft 365, аби «допомогти» зареєструвати ключ доступу Entra
    Шахраї телефонують користувачам Microsoft 365, аби «допомогти» зареєструвати ключ доступу Entra
    1 день тому
    Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
    Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
    3 дні тому
    «Перша» кібератака-вимагач під керуванням ШІ все одно потребувала людини
    «Перша» кібератака-вимагач під керуванням ШІ все одно потребувала людини
    3 дні тому
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    1 тиждень тому
    Схема атаки «людина посередині» (MITM): зловмисник перехоплює дані між користувачем і сайтом
    Атака «людина посередині» (MITM): чому двофакторка вже не рятує — і що реально захищає
    2 тижні тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    1 рік тому
    Оновлення прошивки роутера: як перевірити підтримку та коли варто замінити пристрій
    Забули пароль від Wi-Fi? 6 способів дізнатися його
    1 рік тому
    Google розкрив секрети дешевих авіаквитків
    Google розкрив секрети дешевих авіаквитків
    1 рік тому
    Останні новини
    Як очистити кеш і файли cookie у Firefox: інструкція для компʼютера та смартфона
    3 години тому
    Як оплачувати через Google Pay: налаштування і користування в Україні
    4 години тому
    Як синхронізувати Android-смартфон і компʼютер Mac
    2 дні тому
    Як увімкнути дозвіл для застосунку на Android: обовʼязкові, тимчасові та «зниклі» дозволи
    2 дні тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    8 місяців тому
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    3 місяці тому
    Які послуги входять в обслуговування орендованого сервера
    Які послуги входять в обслуговування орендованого сервера
    8 місяців тому
    Останні новини
    Глава МЗС Британії застерігає: без глобальних правил штучний інтелект може стати загрозою масштабу Хіросіми
    5 днів тому
    Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися
    3 тижні тому
    Друге життя флагманів
    3 тижні тому
    Яка остання версія Android?
    3 тижні тому
  • Огляди
    ОглядиПоказати ще
    google maps e1783414031259
    7 функцій Google Maps, які варто використовувати у 2026 році
    4 дні тому
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    1 тиждень тому
    10c46d336be797cecad10a202f8a0d5ed8bbd3afa07bb09b0e5653b174a3573c
    Google Maps проти Apple Maps у 2026 році: який застосунок кращий
    2 тижні тому
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    4 тижні тому
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    1 місяць тому
  • Техногіганти
    • Google
    • Apple
    • Microsoft
    • Meta
    • OpenAI
    • Anthropic
    • xAI
    • Samsung
  • Теми
    • Комп’ютери
    • Смартфони
    • Електронна пошта
    • Windows
    • Linux
    • Android
    • iPhone
    • VPN
    • Штучний інтелект
    • Робототехніка
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Маніпуляції в медіа
  • Дезінформація
  • Безпека дітей в Інтернеті
  • Розумний будинок
Інше
  • Сканер безпеки сайту
  • Архів
Читання: Критичні вразливості в розширеннях VSCode загрожують розробникам
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Техногіганти
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Сканер безпеки сайту
  • Архів
Follow US
  • Про проєкт Cybercalm
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Кібербезпека / Критичні вразливості в розширеннях VSCode загрожують розробникам

Критичні вразливості в розширеннях VSCode загрожують розробникам

Кібербезпека
5 місяців тому
Поширити
3 хв. читання
Критичні вразливості в розширеннях VSCode загрожують розробникам

Дослідники виявили вразливості з високим та критичним рівнем небезпеки в популярних розширеннях Visual Studio Code, які сумарно завантажили понад 128 мільйонів разів. Ці проблеми безпеки дозволяють зловмисникам викрадати локальні файли та виконувати код віддалено на комп’ютерах розробників.

Зміст
  • Віддалене виконання коду через популярні розширення
  • XSS та доступ до конфіденційних даних
  • Рекомендації з безпеки для розробників

Уразливості впливають на розширення Code Runner (CVE-2025-65715), Markdown Preview Enhanced (CVE-2025-65716, CVE-2025-65717) та Microsoft Live Preview (ідентифікатор не присвоєно). Команда безпеки Ox Security намагалася повідомити про проблеми з червня 2025 року, але жоден з підтримувачів не відповів.

Віддалене виконання коду через популярні розширення

Розширення VSCode працюють зі значним доступом до локального середовища розробки, включно з файлами, терміналами та мережевими ресурсами. Ox Security опублікувала звіти про кожну вразливість і попередила, що використання уражених розширень може призвести до латерального руху в корпоративній мережі, витоку даних та захоплення систем.

Критична вразливість CVE-2025-65717 в розширенні Live Server (понад 72 мільйони завантажень у VSCode) дозволяє зловмисникам викрадати локальні файли, перенаправивши жертву на шкідливу веб-сторінку. Вразливість CVE-2025-65715 в Code Runner (37 мільйонів завантажень) дозволяє віддалене виконання коду через зміну конфігураційного файлу розширення. Це можна здійснити, змусивши ціль вставити шкідливий фрагмент конфігурації в глобальний файл settings.json.

- Advertisement -

XSS та доступ до конфіденційних даних

Вразливість CVE-2025-65716 з високим рівнем небезпеки 8.8 впливає на Markdown Preview Enhanced (8.5 мільйонів завантажень) і може використовуватися для виконання JavaScript через спеціально створений Markdown-файл. Дослідники також виявили one-click XSS вразливість у версіях Microsoft Live Preview до 0.4.16, яку можна експлуатувати для доступу до конфіденційних файлів на машині розробника. Це розширення має понад 11 мільйонів завантажень.

Вразливості також стосуються Cursor та Windsurf — AI-powered IDE, сумісних з VSCode. Звіт Ox Security підкреслює, що ризики від експлуатації цих проблем включають pivoting в мережі та крадіжку конфіденційних даних, таких як API-ключі та конфігураційні файли.

Рекомендації з безпеки для розробників

Розробникам радять уникати запуску localhost-серверів без необхідності, відкриття недовіреного HTML під час їх роботи та застосування недовірених конфігурацій або вставки фрагментів коду в settings.json. Також рекомендується видалити непотрібні розширення та встановлювати лише ті, що походять від надійних видавців.

Важливо моніторити несподівані зміни налаштувань та регулярно перевіряти встановлені розширення на предмет відомих вразливостей. Ці базові заходи безпеки можуть значно знизити ризики компрометації середовища розробки.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:VSCodeвразливостірозробка ПЗ
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття Meta та інші tech-компанії забороняють OpenClaw через загрози безпеці Meta та інші tech-компанії забороняють OpenClaw через загрози безпеці
Наступна стаття Якщо ви побачили USB-накопичувач із таким логотипом — не підключайте його до комп'ютера Якщо ви побачили USB-накопичувач із таким логотипом — не підключайте його до комп’ютера

В тренді

google maps e1783414031259
7 функцій Google Maps, які варто використовувати у 2026 році
4 дні тому
Як змінювався пошук Google з моменту його запуску у 1998 році
Google використовує ваші фото й голосові запити для навчання ШІ. Як це вимкнути
3 дні тому
Як синхронізувати Android-смартфон і компʼютер Mac
Як синхронізувати Android-смартфон і компʼютер Mac
1 день тому
Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
Joker: як працює один із найживучіших Android-троянів і як від нього захиститися
3 дні тому
Meta запустила ШІ-генератор зображень Muse Image — користувачі вже протестують проти використання їхніх фото
Meta запустила ШІ-генератор зображень Muse Image — користувачі вже протестують проти використання їхніх фото
2 дні тому

Рекомендуємо

Microsoft усунула рекордні 206 вразливостей Windows — серед них три zero-day
Техногіганти

Microsoft усунула рекордні 206 вразливостей Windows — серед них три zero-day

4 тижні тому
Apple випустила iOS та macOS 26.4 з виправленням понад 80 вразливостей
Техногіганти

Apple випустила iOS та macOS 26.4 з виправленням понад 80 вразливостей

4 місяці тому
Російські хакери APT28 атакують українські держустанови через вразливість Zimbra
Кібербезпека

Російські хакери APT28 атакують українські держустанови через вразливість Zimbra

4 місяці тому
Терміново оновіть свій комп'ютер з Windows - виявлено 10 вразливостей нульового дня
Техногіганти

Microsoft випустила екстрене оновлення для Windows 11 Enterprise з hotpatch

4 місяці тому

Гарячі теми

  • Кібербезпека
  • Штучний інтелект
  • Смартфони
  • Комп'ютери
  • Соцмережі
  • Безпека дітей в Інтернеті

Приєднуйтесь

Ласкаво просимо до CyberCalm – вашого надійного провідника у світі цифрової безпеки та спокою!

Інформація
  • Про нас
  • Політика конфіденційності
  • Контакти
Навігація
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Техногіганти
CyberCalmCyberCalm
© 2025 Cybercalm. All Rights Reserved.
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?