Vor einigen Monaten konzentrierten sich die Forscher der Ox Security-Firma auf ein Problem, das jeden betreffen sollte, der Visual Studio Code mit vielen installierten Erweiterungen verwendet: Schwere bis zu kritischen Sicherheitsversagen in sehr beliebten Ergänzungen, die zusammen über 128 Millionen Downloads. Diese Fehler erlauben die Exfiltration von lokalen Dateien zur Remote-Code-Ausführung innerhalb der Entwicklungsumgebung, die sie zu einem idealen Tor für Angriffe macht, die mit engagierten Anmeldeinformationen oder seitlichen Bewegungen in Unternehmensnetzwerken enden.
Die identifizierten Schwachstellen beeinflussen weit verbreitete Erweiterungen: Live Server, Code Runner, Markdown Preview Enhanced und Microsoft Live Preview. Ox Security veröffentlichte ausführliche Analyse für jeden Fall und erklärt, dass seine Ermittler versuchten, das Wartungspersonal seit Juni 2025 ohne Antwort zu benachrichtigen, und sie schließlich die Untersuchungen öffentlich gemacht. Für diejenigen, die die technischen Berichte sehen möchten, hat Ox Security spezifische Einträge auf Live Server, Code Runner, Markdown Preview Enhanced und die Schwachstelle von Live Preview.
Live Server, mit zehn Millionen von Downloads, ist besonders beunruhigend: Laut Ox Security kann eine bösartige Website den Fehler nutzen, der als CVE-2025-65717 identifiziert wurde, um lokale Dateien zuzugreifen, wenn der Entwickler einen lokalen Server ausgeführt hat. Dies ist kein einfaches "Defacement" eines Browser-Tab: Eine gut gestaltete Explosion kann Dateien mit Geheimnissen (API-Tasten, Token, Konfigurationsdateien) direkt von Ihrer Maschine extrahieren. Die technische Analyse ist im Ox Security Blog über Live Server verfügbar.
Code Runner, eine weitere massive Erweiterung, wurde durch eine Schwachstelle als CVE-2025-65715 aufgeführt, die Remote-Code Ausführung durch Manipulation Konfigurationen erlaubt. Insbesondere kann ein Angreifer das Opfer dazu veranlassen, schädliche Snippets in die globalen Einstellungen einzufügen oder einzufügen. json-Datei, die das Verhalten des Codeausführers ändert. Wenn ein schädlicher Schauspieler Ihre Konfiguration erhält, um auf einen ausführbaren oder beliebigen Befehl hinzuweisen, öffnet die Tür den Code mit Ihren Privilegien auszuführen; Ox Security beschreibt, wie Sie dieses Szenario in Ihrem Code Runner Bericht erstellen können.
Markdown Preview Enhanced, die das Rendern von Markdown-Dokumenten innerhalb des Editors erleichtert, stellte auch einen Fehler vor (CVE-2025-65716, Score 8.8), der JavaScript von speziell manipulierten Markdown-Dateien auslaufen lässt. Da viele Entwickler Dokumente von Drittanbietern oder lokale Vorschau öffnen, eine bösartige Markdown-Datei kann ausreichen, um Skripte im Kontext der Erweiterung auszuführen mit den Konsequenzen, die dies bringt. Der technische Bericht von Ox Security untersucht den Angriffsvektor und die Bedingungen für seine Ausbeutung.
Darüber hinaus, in alten Versionen von Microsoft Live Preview, beschreiben die Forscher als "one-click XSS" Schwachstelle, die die Versionen vor 0.4.16 betrifft; richtig ausgenutzt, ermöglicht Zugriff auf sensible Dateien des Entwicklungssystems. Für technische Überprüfung und Konzepttests veröffentlichte Ox Security einen Artikel, der die XSS in Live Preview dokumentiert.
Ox Security warnt, dass diese Fehler nicht auf den VS-Code selbst beschränkt sind: kompatible Editoren oder Gabeln, die VS-Code-Erweiterungen unterstützen, wie Cursor oder Windsurf, könnten auch offen sein, wenn sie diese verletzlichen Erweiterungen laden. Das eigentliche Risiko geht über die verübte Datei hinaus: Ein Angreifer mit Zugriff kann Schlüssel stehlen, in das Netzwerk schwenken und schließlich die Steuerung von Systemen übernehmen, die die Bedrohung auf organisatorischer Ebene erhöht.
Wenn Sie VS-Code verwenden, was können Sie jetzt tun? Das erste ist zu überprüfen, ob Sie die betroffenen Erweiterungen installiert haben und überprüfen, ob Ihre Betreuer Korrekturupdates freigegeben haben. Darüber hinaus bietet Microsoft erweiterte Sicherheitsführung und die Workspace Trust-Funktion, die die Ausführung von unzuverlässigen Code begrenzen helfen; diese Anleitungen sollten gelesen und angewendet werden. Ox Security veröffentlicht auch praktische Empfehlungen in seinen Berichten, einschließlich zu vermeiden, unnötige lokale Server auszuführen, nicht zu öffnen unified HTML, während der lokale Server aktiv ist und nicht die Konfiguration Fragmente in Einstellungen festhalten. json aus nicht bestätigten Quellen.
Jenseits spezifischer Maßnahmen ist es ratsam, eine restriktivere Erweiterungspolitik anzuwenden: nur diejenigen, die Sie wirklich brauchen, Autoren und Redakteure mit gutem Ruf zu bevorzugen und unerwartete Änderungen in der VS-Code-Konfiguration zu überwachen. Für Unternehmensumgebungen reduziert die Isolierung der Entwicklung mit entfernten Umgebungen oder Containern die lokale Ausrüstung; VS Code Remote Development Dokumentation kann als Ausgangspunkt für diese Art der Minderung dienen.
Nicht zuletzt, verantwortliches Sicherheitsmanagement erfordert Kommunikation zwischen Forschern und Managern. Die fehlende Reaktion auf Ox Security-Benachrichtigungen erklärt zum Teil, warum diese Fehler öffentlich wurden: Wenn sie nicht rechtzeitig korrigiert werden, wird das Risikofenster erweitert. Um die von den Entdeckern veröffentlichten technischen Notizen und Konzepttests zu konsultieren, überprüfen Sie die Ox Security-Analysen auf Live Server, Code Runner, Markdown Preview Enhanced und Live Preview. Um zu vertiefen, wie VS Code mit Erweiterung Sicherheit und Arbeitsraumvertrauen behandelt, Microsoft offizielle Dokumentation ist eine gute Ressource.
Die Moral ist klar: Die Erweiterungen machen eine IDE zu einem äußerst mächtigen Werkzeug, aber auch eine Angriffsfläche. Die Verwendung von Erweiterungen ist an sich nicht unsicher, erfordert aber Vorsicht, Updates und Kontrollen so dass die Entwicklungsumgebung nicht zum Eingang wird, durch den die Angreifer Geheimnisse stehlen oder ganze Systeme einnehmen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...