Cybersecurity-Forscher haben eine ernsthafte Warnung auf den Tisch für Millionen von Entwicklern gesetzt: mehrere beliebte Erweiterungen von Visual Studio Code enthalten Fehler, die, richtig ausgenutzt, erlauben, lokale Dateien zu stehlen und Code remote auszuführen. Diese Tools - einschließlich Live Server, Code Runner, Markdown Preview Enhanced und Microsoft Live Preview - add to 125 Millionen Einrichtungen, die Verwundbarkeit ein weitreichendes Risiko für ganze Teams und Organisationen macht. Sie können den vollständigen Bericht der Entdecker auf dem OX Security Blog lesen Hier..
Der von den Forschern beschriebene Angriffsvektor nutzt die gemeinsamen Funktionen in vielen Erweiterungen: lokale Server, die Ressourcen im localhost aussetzen, die Möglichkeit, JavaScript in Vorschau oder Lesen und Ändern der Editoreinstellungen auszuführen. Bei Live Server z.B. erhöht die Erweiterung standardmäßig einen Entwicklungsserver in einem lokalen Port. Ein Angreifer kann das Opfer dazu veranlassen, eine bösartige Website zu besuchen und, während die Erweiterung aktiv ist, dass eingebetteter Code Anfragen an den lokalen Server macht, Wiederherstellen von Dateien und senden Sie sie an eine Domäne, die vom Angreifer kontrolliert wird. OX Security dokumentiert diese Erkenntnis in ihrer Analyse von CVE-2025-65717 näher Hier..
Andere festgestellte Probleme folgen ähnlichen Mustern, aber mit technischen Varianten. In Markdown Preview Enhanced wurde ein Fehler erkannt, der eine beliebige Ausführung von JavaScript ermöglicht, wenn eine speziell manipulierte .md-Datei geöffnet wird; dies kann die Auflistung von lokalen Ports und die Extraktion von Informationen zu externen Domänen erleichtern (siehe OX Security Report on CVE-2025-65716) Code Runner hingegen hat eine Schwäche, die es Ihnen ermöglicht, Code auszuführen, wenn ein Angreifer den Entwickler täuschen kann, seine Konfigurationsdatei (settings.json) zu ändern, eine klassische Social Engineering-Technik, die als CVE-2025-65715. Alle diese Schwachstellen haben hohe CVSS-Scores, die ihre Schwerkraft reflektieren.
Microsoft Live Preview wurde auch darauf hingewiesen, dass ein böswilliges Skript, das auf localhost zielt, um auf sensible Dateien zugreifen, wenn die Erweiterung lief. Im Gegensatz zu den anderen Schwachstellen veröffentlichte Microsoft eine Korrektur - in unmerklicher Weise im Change Log - in der Version 0.4.16 des Projekts; die Beweise und Details der Anordnung erscheinen im offiziellen Repository changelog Hier., während die technische Analyse von OX Security konsultiert werden kann Hier..
Warum sind solche Versagen besonders gefährlich in einer Entwicklungsumgebung? Da Programmierumgebungen oft Schlüssel, Zertifikate, Passwörter in Konfigurationsdateien und Repositories mit Zugriff auf Geschäftsinfrastruktur enthalten. Eine einzelne unschuldige Änderung - eine Datei öffnen, eine Website besuchen oder eine empfohlene Konfiguration auf einem Projekt anwenden - kann ausreichen, um die operative Kette zu aktivieren. Die Forscher haben darauf bestanden, dass mit einer einzigen verletzlichen Erweiterung wäre ausreichend, sich seitlich zu bewegen und eine Organisation zu gefährden, und warnen über schlecht gestaltete Erweiterungen oder mit zu breiten Berechtigungen, die Code ausführen und Dateien ohne strenge Kontrolle ändern können.
Angesichts dieses Szenarios sollten praktische und realistische Maßnahmen ergriffen werden, um das Risiko zu reduzieren. Es wird empfohlen, keine Konfigurationen oder Erweiterungen von nicht verifizierten Quellen anzuwenden, das nicht verwendet wird zu deinstallieren und die Erweiterungen auf dem neuesten Stand zu halten, um entsprechende Patches zu erhalten. Es ist auch bedauerlich, lokale Dienste hinter Firewalls zu isolieren, die eingehende und ausgehende Verbindungen einschränken und lokale Host-Server deaktivieren, wenn sie nicht notwendig sind. Microsoft bietet allgemeine Informationen über die Verwaltung und Nutzung von Erweiterungen in seiner Website-Dokumentation von Visual Studio Code, die bei Ihr offizieller Führer.
Zusätzlich zu diesen Maßnahmen bleiben Standard-Digital-Hygiene-Praktiken unerlässlich: Verdächtige unbekannte Repositories und Dateien, vermeiden Sie laufende Konfigurationsschritte, die von nicht verifizierten Kanälen empfangen werden und lehren Teams, Social Engineering-Anstrengungen zu erkennen, lokale Konfigurationsdateien zu ändern. Organisationen mit reifen Sicherheitspolitiken sollten zusätzliche Kontrollen berücksichtigen, wie die Überarbeitung zugelassener Erweiterungen, die Nutzung isolierter Arbeitsumgebungen (Sandboxing) und die Überwachung des ungewöhnlichen Verkehrs auf externe Domänen von Entwicklungsmaschinen.
Die Verbreitung dieser Schwachstellen zeigt eine größere Schwäche: Erweiterungen bereichern Code-Editoren, erweitern aber auch die Angriffsfläche. Die Arbeit von Sicherheitsfirmen wie OX Security hilft, diese Szenarien zu visualisieren und für Korrekturen zu drücken. Wenn Sie die technischen Analysen jedes Ausfalls überprüfen möchten, hat OX Security spezifische Einträge für Live Server, Markdown Preview Enhanced und Code Runner auf Ihrem Blog veröffentlicht: Live Server, Markdown Vorschau verbessert und Code Runner zusätzlich zur allgemeinen Analyse Hier..
Kurz gesagt, es geht nicht darum, die Erweiterungen zu demontieren, sondern sie mit der gleichen Vorsicht zu behandeln wie jede Software, die Zugriff auf sensible Daten hat. Überprüfung, Einschränkung und Aktualisierung sind einfache Maßnahmen, die den Unterschied zwischen einer sicheren Entwicklungsumgebung und einer Lücke mit ernsthaften Konsequenzen machen können. Achten Sie auf die Kommunikation der Betreuer der Erweiterungen, die Sie verwenden und Patches anwenden, sobald sie verfügbar sind.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...