⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética revelaram múltiplas vulnerabilidades de segurança em quatro extensões populares do Microsoft Visual Studio Code (VS Code) que, se exploradas com sucesso, podem permitir que agentes de ameaças roubem arquivos locais e executem código remotamente.
As extensões, que foram instaladas coletivamente mais de 125 milhões de vezes, são Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview.
“Nossa pesquisa demonstra que um hacker precisa apenas de uma extensão maliciosa, ou de uma única vulnerabilidade dentro de uma extensão, para realizar movimentos laterais e comprometer organizações inteiras”, disseram os pesquisadores da OX Security, Moshe Siman Tov Bustan e Nir Zadok, em um relatório compartilhado com o The Hacker News.
Os detalhes das vulnerabilidades são os seguintes -
CVE-2025-65717 (pontuação CVSS: 9.1) – Uma vulnerabilidade no Live Server que permite que invasores extraiam arquivos locais, enganando um desenvolvedor para que visite um site malicioso quando a extensão está em execução, fazendo com que o JavaScript incorporado na página rastreie e extraia arquivos do servidor HTTP de desenvolvimento local que é executado em localhost:5500 e os transmita para um domínio sob seu controle. (Permanece sem patch)
CVE-2025-65716 (pontuação CVSS: 8,8) – Uma vulnerabilidade no Markdown Preview Enhanced que permite que invasores executem código JavaScript arbitrário carregando um arquivo markdown (.md) criado, permitindo enumeração de porta local e exfiltração para um domínio sob seu controle. (Permanece sem patch)
CVE-2025-65715 (pontuação CVSS: 7,8) – Uma vulnerabilidade no Code Runner que permite que invasores executem código arbitrário, convencendo um usuário a alterar o arquivo “settings.json” por meio de phishing ou engenharia social. (Permanece sem patch)
Uma vulnerabilidade no Microsoft Live Preview permite que invasores acessem arquivos confidenciais na máquina de um desenvolvedor, enganando a vítima para que visite um site malicioso quando a extensão está em execução, o que permite solicitações JavaScript especialmente criadas direcionadas ao host local para enumerar e exfiltrar arquivos confidenciais. (Sem CVE, corrigido silenciosamente pela Microsoft na versão 0.4.16 lançada em setembro de 2025)
Para proteger o ambiente de desenvolvimento, é essencial evitar a aplicação de configurações não confiáveis, desabilitar ou desinstalar extensões não essenciais, proteger a rede local atrás de um firewall para restringir conexões de entrada e saída, atualizar extensões periodicamente e desligar serviços baseados em localhost quando não estiverem em uso.
“Extensões mal escritas, extensões excessivamente permissivas ou maliciosas podem executar código, modificar arquivos e permitir que invasores assumam o controle de uma máquina e extraiam informações”, disse OX Security. “Manter extensões vulneráveis instaladas em uma máquina é uma ameaça imediata à postura de segurança de uma organização: pode ser necessário apenas um clique, ou um repositório baixado, para comprometer tudo.”
As extensões, que foram instaladas coletivamente mais de 125 milhões de vezes, são Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview.
“Nossa pesquisa demonstra que um hacker precisa apenas de uma extensão maliciosa, ou de uma única vulnerabilidade dentro de uma extensão, para realizar movimentos laterais e comprometer organizações inteiras”, disseram os pesquisadores da OX Security, Moshe Siman Tov Bustan e Nir Zadok, em um relatório compartilhado com o The Hacker News.
Os detalhes das vulnerabilidades são os seguintes -
CVE-2025-65717 (pontuação CVSS: 9.1) – Uma vulnerabilidade no Live Server que permite que invasores extraiam arquivos locais, enganando um desenvolvedor para que visite um site malicioso quando a extensão está em execução, fazendo com que o JavaScript incorporado na página rastreie e extraia arquivos do servidor HTTP de desenvolvimento local que é executado em localhost:5500 e os transmita para um domínio sob seu controle. (Permanece sem patch)
CVE-2025-65716 (pontuação CVSS: 8,8) – Uma vulnerabilidade no Markdown Preview Enhanced que permite que invasores executem código JavaScript arbitrário carregando um arquivo markdown (.md) criado, permitindo enumeração de porta local e exfiltração para um domínio sob seu controle. (Permanece sem patch)
CVE-2025-65715 (pontuação CVSS: 7,8) – Uma vulnerabilidade no Code Runner que permite que invasores executem código arbitrário, convencendo um usuário a alterar o arquivo “settings.json” por meio de phishing ou engenharia social. (Permanece sem patch)
Uma vulnerabilidade no Microsoft Live Preview permite que invasores acessem arquivos confidenciais na máquina de um desenvolvedor, enganando a vítima para que visite um site malicioso quando a extensão está em execução, o que permite solicitações JavaScript especialmente criadas direcionadas ao host local para enumerar e exfiltrar arquivos confidenciais. (Sem CVE, corrigido silenciosamente pela Microsoft na versão 0.4.16 lançada em setembro de 2025)
Para proteger o ambiente de desenvolvimento, é essencial evitar a aplicação de configurações não confiáveis, desabilitar ou desinstalar extensões não essenciais, proteger a rede local atrás de um firewall para restringir conexões de entrada e saída, atualizar extensões periodicamente e desligar serviços baseados em localhost quando não estiverem em uso.
“Extensões mal escritas, extensões excessivamente permissivas ou maliciosas podem executar código, modificar arquivos e permitir que invasores assumam o controle de uma máquina e extraiam informações”, disse OX Security. “Manter extensões vulneráveis instaladas em uma máquina é uma ameaça imediata à postura de segurança de uma organização: pode ser necessário apenas um clique, ou um repositório baixado, para comprometer tudo.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falhas #críticas #encontradas #em #quatro #extensões #de #código #vs #com #mais #de #125 #milhões #de #instalações
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário