Критические уязвимости в популярных расширениях Visual Studio Code угрожают безопасности пользователей

Исследователи из компании OX Security обнаружили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code: Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Суммарное число установок этих расширений превышает 125 миллионов, а найденные баги позволяют похищать локальные файлы и удаленно выполнять код.

По словам специалистов, хакеру требуется всего одно вредоносное расширение или одна уязвимость, чтобы скомпрометировать целую организацию. Обнаруженные проблемы связаны с тем, как расширения обрабатывают локальные серверы и пользовательский ввод.

Самой опасной оказалась уязвимость CVE-2025-65717 (9,1 балла по шкале CVSS) в расширении Live Server. При ее эксплуатации атакующий может заманить разработчика на вредоносный сайт, после чего встроенный JavaScript начинает извлекать файлы с локального HTTP-сервера и передавать их на подконтрольный домен. Патча для этой уязвимости пока нет.

В Markdown Preview Enhanced была найдена уязвимость CVE-2025-65716 (8,8 балла по шкале CVSS), позволяющая выполнять произвольный JavaScript-код через специально подготовленный markdown-файл, что может привести к похищению данных. Исправление также не выпущено.

Уязвимость CVE-2025-65715 (7,8 балла по шкале CVSS) в Code Runner дает возможность выполнять произвольный код после изменения файла settings.json, что может быть осуществлено через фишинг. Патча для этой уязвимости также нет.

Наконец, уязвимость в расширении Microsoft Live Preview, которая позволяет эксфильтратировать файлы, была исправлена в версии 0.4.16, выпущенной в сентябре 2025 года.

Исследователи рекомендуют пользователям не открывать непроверенные HTML-файлы, избегать копирования конфигураций settings.json из небезопасных источников, удалять лишние расширения и ограничивать доступ к локальным сервисам через файрвол.

Кроме того, они отмечают, что такие уязвимости становятся системной проблемой и предлагают внедрить обязательную проверку безопасности перед публикацией расширений, подобно проверкам в магазинах мобильных приложений.

Исследователи из компании OX Security обнаружили серьезные уязвимости в четырех популярных расширениях для Visual Studio Code: Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Суммарное число установок этих расширений превышает 125 миллионов, а найденные баги позволяют похищать локальные файлы и удаленно выполнять код.

По словам специалистов, хакеру требуется всего одно вредоносное расширение или одна уязвимость, чтобы скомпрометировать целую организацию. Обнаруженные проблемы связаны с тем, как расширения обрабатывают локальные серверы и пользовательский ввод.

Самой опасной оказалась уязвимость CVE-2025-65717 (9,1 балла по шкале CVSS) в расширении Live Server. При ее эксплуатации атакующий может заманить разработчика на вредоносный сайт, после чего встроенный JavaScript начинает извлекать файлы с локального HTTP-сервера и передавать их на подконтрольный домен. Патча для этой уязвимости пока нет.

В Markdown Preview Enhanced была найдена уязвимость CVE-2025-65716 (8,8 балла по шкале CVSS), позволяющая выполнять произвольный JavaScript-код через специально подготовленный markdown-файл, что может привести к похищению данных. Исправление также не выпущено.

Уязвимость CVE-2025-65715 (7,8 балла по шкале CVSS) в Code Runner дает возможность выполнять произвольный код после изменения файла settings.json, что может быть осуществлено через фишинг. Патча для этой уязвимости также нет.

Наконец, уязвимость в расширении Microsoft Live Preview, которая позволяет эксфильтратировать файлы, была исправлена в версии 0.4.16, выпущенной в сентябре 2025 года.

Исследователи рекомендуют пользователям не открывать непроверенные HTML-файлы, избегать копирования конфигураций settings.json из небезопасных источников, удалять лишние расширения и ограничивать доступ к локальным сервисам через файрвол.

Кроме того, они отмечают, что такие уязвимости становятся системной проблемой и предлагают внедрить обязательную проверку безопасности перед публикацией расширений, подобно проверкам в магазинах мобильных приложений.

]]>