Експерт алармира за опасностите, свързани с плъгините за редакторите на код
По-рано този месец два плъгина за известния редактор на код Visual Studio Code получиха обновления за сериозни уязвимости, които може да разрешат отдалеченото осъществяване на злотворен код към системите. Дупките са запушени, откакто компанията за сигурност Snyk ги открива и рапортува за тях. Тези проблеми не са единствените и в случай че въпросните добавки (Open in Default Browser и Instant Markdown) се употребяват от общо 600 000 разработчика, то има други приставки с потребителска база от милиони, които може да крият същите проблеми. За това сигнализира и Кирил Ефимов от Snyk, представен от Dark Reading.
Това, което тормози Ефимов значително е дали Microsoft Visual Studio Code, Github Atom и други редактори на код с поддръжката на приставки минават обстойни инспекции на сигурността. „Мисля, че това е едвам върха на айсберга. Макар и само този вектор за офанзива да бива обиден в изследването ни, когато човек огледа разширенията за VS Code, незабавно схваща, че това е златна мина за проучване“. Подобни редактори с разширени благоприятни условия са извънредно известни. През предходната година, Microsoft се похвалиха, че платформата им се употребява интензивно от над 11 000 000 дейни консуматори. По данни на проучване ot 2019, VS Code е желан избор за близо 52% от разработчиците, следван от Sublime Text (23%), Atom на GitHub (13%) и други
В обява от тази седмица, Snyk дават повече детайлности за откритията си и насочат предизвестие по отношение на заплахите, свързани с уязвимости в плъгините. Специалистите преднамерено изчакват проблемите да бъдат адресирани от основателите на разширенията преди да разгласяват своите открития. В едно от тях, Ефимов показва по какъв начин чрез уязвимостта в плъгина Instant Markdown, той съумява SSH ключовете от разработчик, употребяващ VS Code. Специалистите са разкрили сходна накърнимост и в различен известен плъгин – LaTeX Workshop – който има потребителска база от над 1 200 000 индивида. С оглед на откритата екосистема на VS Code Extension Marketplace и обстоятелството, че оповестените приставки не минават специфични инспекции, рисковете освен за разработчиците на приложения, само че и за фирмите и потребителите, които ги употребяват е голям. Магазинът на VS Code е дом на над 25 000 разширения.
Това, което тормози Ефимов значително е дали Microsoft Visual Studio Code, Github Atom и други редактори на код с поддръжката на приставки минават обстойни инспекции на сигурността. „Мисля, че това е едвам върха на айсберга. Макар и само този вектор за офанзива да бива обиден в изследването ни, когато човек огледа разширенията за VS Code, незабавно схваща, че това е златна мина за проучване“. Подобни редактори с разширени благоприятни условия са извънредно известни. През предходната година, Microsoft се похвалиха, че платформата им се употребява интензивно от над 11 000 000 дейни консуматори. По данни на проучване ot 2019, VS Code е желан избор за близо 52% от разработчиците, следван от Sublime Text (23%), Atom на GitHub (13%) и други
В обява от тази седмица, Snyk дават повече детайлности за откритията си и насочат предизвестие по отношение на заплахите, свързани с уязвимости в плъгините. Специалистите преднамерено изчакват проблемите да бъдат адресирани от основателите на разширенията преди да разгласяват своите открития. В едно от тях, Ефимов показва по какъв начин чрез уязвимостта в плъгина Instant Markdown, той съумява SSH ключовете от разработчик, употребяващ VS Code. Специалистите са разкрили сходна накърнимост и в различен известен плъгин – LaTeX Workshop – който има потребителска база от над 1 200 000 индивида. С оглед на откритата екосистема на VS Code Extension Marketplace и обстоятелството, че оповестените приставки не минават специфични инспекции, рисковете освен за разработчиците на приложения, само че и за фирмите и потребителите, които ги употребяват е голям. Магазинът на VS Code е дом на над 25 000 разширения.
Източник: kaldata.com
КОМЕНТАРИ