Il y a quelques mois, les chercheurs de la société de sécurité Ox Security se sont concentrés sur un problème qui devrait concerner quiconque utilise Visual Studio Code avec de nombreuses extensions installées: haute gravité aux défaillances critiques de sécurité dans des suppléments très populaires qui, ensemble, dépassent 128 millions de téléchargements. Ces erreurs permettent d'exfiltration de fichiers locaux à l'exécution de code à distance dans l'environnement de développement, ce qui en fait une passerelle idéale pour les attaques qui se terminent par des lettres de créances engagées ou des mouvements latéraux dans les réseaux d'entreprises.
Les vulnérabilités identifiées affectent les extensions largement utilisées: Live Server, Code Runner, Markdown Preview Enhanced et Microsoft Live Preview. Ox Security a publié une analyse détaillée pour chaque cas et indique que ses enquêteurs ont tenté d'informer le personnel de maintenance depuis juin 2025 sans réponse, et ils ont finalement rendu les enquêtes publiques. Pour ceux qui veulent voir les rapports techniques, Ox Security a des entrées spécifiques sur Live Server, Code Runner, Markdown Preview Enhanced et la vulnérabilité de Live Preview.
Live Server, avec des dizaines de millions de téléchargements, est particulièrement inquiétant: selon Ox Security, un site web malveillant peut profiter de la faute identifiée comme CVE-2025-65717 pour accéder aux fichiers locaux lorsque le développeur a un serveur local en cours d'exécution. Ce n'est pas une simple "défauturement" d'un onglet de navigateur: une explosion bien conçue peut extraire des fichiers avec des secrets (clés API, jetons, fichiers de configuration) directement de votre machine. L'analyse technique est disponible sur le blog Ox Security sur Live Server.
Code Runner, une autre extension massive, a été soulignée par une vulnérabilité listée comme CVE-2025-65715 qui permet l'exécution de code à distance en manipulant des configurations. En particulier, un attaquant peut inciter la victime à entrer ou à coller des extraits malveillants dans les paramètres mondiaux. fichier json, qui finit par modifier le comportement de l'exécuteur de code. Si un acteur malveillant obtient votre configuration pour pointer vers une commande exécutable ou arbitraire, la porte s'ouvre pour exécuter le code avec vos privilèges; Ox Security décrit comment vous pouvez créer ce scénario dans votre rapport Code Runner.
Markdown Preview Enhanced, qui facilite le rendu des documents Markdown dans l'éditeur, a également présenté un échec (CVE-2025-65716, score 8.8), qui permet à JavaScript de fonctionner à partir de fichiers Markdown spécialement manipulés. Puisque de nombreux développeurs ouvrent des documents tiers ou un aperçu local, un fichier de Markdown malveillant peut être suffisant pour exécuter des scripts dans le contexte de l'extension avec les conséquences que cela entraîne. Le rapport technique Ox Security examine le vecteur d'attaque et les conditions de son exploitation.
En outre, dans les anciennes versions de Microsoft Live Preview, ce que les chercheurs décrivent comme une vulnérabilité « un clic XSS » qui affecte les versions avant 0.4.16 ; correctement exploité, permet l'accès aux fichiers sensibles du système de développement. Pour la vérification technique et les essais de concept, Ox Security a publié un article qui documente le XSS dans Live Preview.
Ox Security avertit que ces défaillances ne se limitent pas au code VS lui-même : des éditeurs ou des fourches compatibles qui prennent en charge les extensions VS Code, comme Cursor ou Windsurf, pourraient également être exposés s'ils chargent ces extensions vulnérables. Le risque réel va au-delà du fichier engagé: un attaquant avec accès peut voler des clés, pivoter dans le réseau et éventuellement prendre le contrôle des systèmes, ce qui soulève la menace au niveau organisationnel.
Si vous utilisez VS Code, que pouvez-vous faire maintenant? La première chose est de vérifier si vous avez installé les extensions concernées et de vérifier si vos responsables ont publié des mises à jour correctives. En outre, Microsoft fournit des conseils de sécurité d'extension et la fonction Workspace Trust, qui aident à limiter l'exécution de code peu fiable; ces guides doivent être lus et appliqués. Ox Security publie également des recommandations pratiques dans ses rapports, notamment éviter d'exécuter des serveurs locaux inutiles, ne pas ouvrir de HTML non vérifié pendant que le serveur local est actif et ne pas coller les fragments de configuration dans les paramètres. Json de sources non confirmées.
Au-delà de mesures spécifiques, il est prudent d'appliquer une politique d'extension plus restrictive: ne maintenir que ceux dont vous avez vraiment besoin, de préférer les auteurs et éditeurs ayant une bonne réputation et de surveiller les changements inattendus dans la configuration du code VS. Pour les environnements d'entreprise, l'isolement du développement avec des environnements ou conteneurs distants réduit l'exposition à l'équipement local.
Dernier mais pas le moindre, une gestion responsable de la vulnérabilité nécessite une communication entre les chercheurs et les gestionnaires. L'absence de réponse aux notifications Ox Security explique en partie pourquoi ces défaillances sont devenues publiques : lorsqu'elles ne sont pas corrigées à temps, la fenêtre de risque est étendue. Pour consulter les notes techniques et les tests de concept publiés par les découvreurs, consultez les analyses Ox Security sur Live Server, Code Runner, Markdown Preview Enhanced et Live Preview. Pour approfondir la façon dont VS Code traite la sécurité d'extension et la confiance dans l'espace de travail, la documentation officielle de Microsoft est une bonne ressource.
La morale est claire : les extensions font d'un IDE un outil extrêmement puissant, mais aussi une surface d'attaque. L'utilisation des extensions n'est pas en soi incertaine, mais nécessite prudence, mises à jour et contrôles afin que l'environnement de développement ne devienne pas l'entrée par laquelle les attaquants volent des secrets ou prennent des systèmes entiers.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...