Les chercheurs en cybersécurité ont mis en place un avertissement sérieux pour des millions de développeurs : plusieurs extensions populaires de Visual Studio Code contiennent des défaillances qui, correctement exploitées, permettent de voler des fichiers locaux et d'exécuter le code à distance. Ces outils - y compris Live Server, Code Runner, Markdown Preview Enhanced et Microsoft Live Preview - ajouter à 125 millions d'installations, ce qui rend la vulnérabilité un risque considérable pour des équipes et des organisations entières. Vous pouvez lire le rapport complet des découvreurs sur le blog OX Security Voilà..
Le vecteur d'attaque décrit par les chercheurs profite de fonctionnalités communes dans de nombreuses extensions: serveurs locaux qui exposent les ressources dans localhost, la possibilité d'exécuter JavaScript dans prévisualiser ou lire et modifier les paramètres de l'éditeur. Dans le cas de Live Server, par exemple, l'extension par défaut soulève un serveur de développement dans un port local. Un attaquant peut inciter la victime à visiter un site Web malveillant et, bien que l'extension soit active, ce code intégré fait des requêtes au serveur local pour récupérer les fichiers et les envoyer à un domaine contrôlé par l'attaquant. OX Security documente cette constatation plus en détail dans son analyse de CVE-2025-65717 Voilà..
D'autres problèmes détectés suivent des modèles similaires mais avec des variantes techniques. Dans Markdown Preview Un défaut a été identifié qui permet l'exécution arbitraire de JavaScript lorsqu'un fichier .md spécialement manipulé est ouvert; cela peut faciliter la liste des ports locaux et l'extraction d'informations vers des domaines externes (voir le rapport OX Security sur CVE-2025-65716). Code Runner, par contre, a une faiblesse qui vous permet d'exécuter le code si un attaquant peut tromper le développeur pour modifier son fichier de configuration (settings.json), une technique d'ingénierie sociale classique documentée comme CVE-2025-65715. Toutes ces vulnérabilités ont des scores CVSS élevés qui reflètent leur gravité.
Microsoft Live Preview a également été souligné pour permettre un script malveillant visant à localhost d'accéder aux fichiers sensibles lorsque l'extension était en cours d'exécution. Contrairement aux autres vulnérabilités, Microsoft a publié une correction - d'une manière inconcevable dans le journal des changements - dans la version 0.4.16 du projet; les preuves et les détails de l'arrangement apparaissent dans le journal officiel des changements de dépôt Voilà., tandis que l'analyse technique de OX Security peut être consultée Voilà..
Pourquoi ces échecs sont-ils particulièrement dangereux dans un environnement de développement? Parce que les environnements de programmation contiennent souvent des clés, des certificats, des mots de passe dans les fichiers de configuration et les dépôts avec accès à l'infrastructure commerciale. Un seul changement innocent - ouvrir un fichier, visiter un site Web ou appliquer une configuration recommandée sur un projet - peut suffire à activer la chaîne d'exploitation. Les chercheurs ont insisté pour que avec une seule extension vulnérable serait suffisant pour avancer latéralement et compromettre une organisation, et avertissez sur les extensions mal conçues ou avec des permissions trop larges qui peuvent exécuter le code et modifier des fichiers sans contrôle strict.
Face à ce scénario, des mesures pratiques et réalistes devraient être prises pour réduire les risques. Il est recommandé de ne pas appliquer de configurations ou d'extensions de sources non vérifiées, de désinstaller ce qui n'est pas utilisé et de garder les extensions à jour pour recevoir les correctifs appropriés. Il est également prudent d'isoler les services locaux derrière les pare-feu qui limitent les connexions entrantes et sortantes, et de désactiver les serveurs locaux lorsqu'ils ne sont pas nécessaires. Microsoft offre des informations générales sur la gestion et l'utilisation des extensions dans la documentation de son site Web de Visual Studio Code, qui peut être trouvée à votre guide officiel.
En plus de ces mesures, les pratiques d'hygiène numérique standard demeurent essentielles : des dépôts et des fichiers inconnus suspects, évitent les étapes de configuration reçues par les canaux non vérifiés et enseignent aux équipes à reconnaître les tentatives d'ingénierie sociale pour modifier les fichiers de configuration locaux. Les organisations ayant des politiques de sécurité mûres devraient envisager des contrôles supplémentaires, tels que la révision des extensions autorisées, l'utilisation d'environnements de travail isolés (boîte à sable) et la surveillance du trafic inhabituel vers des domaines extérieurs à partir de machines de développement.
La propagation de ces vulnérabilités met en évidence une faiblesse plus large : les extensions enrichissent les éditeurs de code, mais aussi élargissent la surface d'attaque. Le travail des sociétés de sécurité comme OX Security aide à visualiser ces scénarios et à faire pression pour les corrections. Si vous voulez examiner les analyses techniques de chaque échec, OX Security a publié des entrées spécifiques pour Live Server, Markdown Preview Enhanced et Code Runner sur votre blog: Serveur en direct, Aperçu du marquage amélioré et Code Runner outre l'analyse générale Voilà..
Bref, il ne s'agit pas de diaboliser les extensions, mais de les traiter avec la même prudence que tout logiciel ayant accès à des données sensibles. Révision, limitation et mise à jour sont des actions simples qui peuvent faire la différence entre un environnement de développement sûr et un fossé aux conséquences graves. Gardez un œil sur les communications des responsables des extensions que vous utilisez et appliquez les correctifs dès qu'ils sont disponibles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...