خلاصه
مایکروسافت اطلاعیهای در خصوص وجود یک آسیبپذیری اجرای کد از راه دور در ویژوال استودیو کد منتشر کرد. این آسیبپذیری که در گروه آسیبپذیریهای اجرای کد از راه دور با رتبه حیاتی قرار دارد، در VS Code 1.71[1] و نسخههای قدیمیتر نوت بوکهای مخرب موجود است. این نوت بوکها میتوانند از URIهای فرمان برای اجرای فرمانهای دلخواه از جمله فرمانهای بالقوه خطرناک استفاده کنند.
جزئیات فنی
این آسیبپذیری توسط گوگل گزارش شده و با کد CVE-2022-41034 شناخته میشود. با وجود این آسیبپذیری مهاجم میتواند از طریق یک لینک یا وبسایت، کنترل کامپیوتری با ویژوال استودیو کد و همه کامپیوترهایی که از طریق Visual Studio Code Remote Development (قابلیت توسعه کد از راه دور ویژوال استودیو) به آن متصل شدهاند را در اختیار بگیرد. این مشکل حداقل بر کداسپیسهای گیتهاب، github.dev، Visual Studio Code for Web تحت وب و تا حدی بر نسخه دسکتاپ Visual tudio Code تأثیرگذار است. 11 اکتبر مایکروسافت وصله امنیتی 1.72 را برای حل این مشکل منتشر کرد.
محصولات تحت تأثیر
- نسخه 1.7 و قدیمیتر ویژوال استودیو کد
توصیهها
توصیه میشود که وصلههای امنیتی ویژوال استودیو کد را نصب کنید.
[1] Visual Studio Code 1.71
منابع: github ،github ،visualstudio