آسیب‌پذیری حیاتی در ویژوال استودیو کد (Visual Studio Code)

خلاصه

مایکروسافت اطلاعیه‌ای در خصوص وجود یک آسیب‌پذیری اجرای کد از راه دور در ویژوال استودیو کد منتشر کرد. این آسیب‌پذیری که در گروه آسیب‌پذیری‌های اجرای کد از راه دور با رتبه حیاتی قرار دارد، در VS Code 1.71[1] و نسخه‌های قدیمی‌تر نوت بوک‌های مخرب موجود است. این نوت بوک‌ها می‌توانند از URIهای فرمان برای اجرای فرمان‌های دلخواه از جمله فرمان‌های بالقوه خطرناک استفاده کنند.

جزئیات فنی

این آسیب‌پذیری توسط گوگل گزارش شده و با کد CVE-2022-41034 شناخته می‌شود. با وجود این آسیب‌پذیری مهاجم می‌تواند از طریق یک لینک یا وبسایت، کنترل کامپیوتری با ویژوال استودیو کد و همه کامپیوترهایی که از طریق Visual Studio Code Remote Development (قابلیت توسعه کد از راه دور ویژوال استودیو) به آن متصل شده‌اند را در اختیار بگیرد. این مشکل حداقل بر کداسپیس‌های گیت‌هاب، github.dev، Visual Studio Code for Web تحت وب و تا حدی بر نسخه دسکتاپ Visual tudio Code تأثیرگذار است. 11 اکتبر مایکروسافت وصله امنیتی 1.72 را برای حل این مشکل منتشر کرد. 

محصولات تحت تأثیر

• نسخه 1.7 و قدیمی‌تر ویژوال استودیو کد

توصیه‌ها

توصیه می‌شود که وصله‌های امنیتی ویژوال استودیو کد را نصب کنید.

[1] Visual Studio Code 1.71

منابع: github ،github ،visualstudio