概要
4つの人気のあるVisual Studio Code (VS Code) 拡張機能に深刻な脆弱性が見つかり、これらは累計で1億2800万以上のダウンロード数を記録しています。これらの脆弱性には3つのCVE(Common Vulnerabilities and Exposures)番号が割り当てられており、開発者環境のセキュリティに重大な影響を与えています。
脆弱性の詳細
これらの脆弱性は、開発者がIDE(統合開発環境)内でAPIキー、ビジネスロジック、データベース設定、顧客情報などを保存する傾向があることから深刻さを増しています。単一の悪意のある拡張機能が存在することで、ハッカーは機密情報を漏洩させたり、マシンを乗っ取ったりすることが可能になります。
CVE IDと脆弱性情報
- CVE-2025-65717: Live Server 拡張機能 – 远程文件泄露(所有版本)
- CVE-2025-65715: Code Runner 拡張機能 – 远程代码执行(所有版本)
- CVE-2025-65716: Markdown Preview Enhanced 拡張機能 – JavaScriptコード実行によるローカルポートスキャンとデータ漏洩の可能性(すべてのバージョン)
- No CVE: Microsoft Live Preview 拡張機能 – 一発XSSからIDEファイル全量エクスフィラション(v0.4.16+で修正済み)
潜在的な影響
側面移動リスク: 開発環境の侵害は、接続された内部ネットワークを横断的に拡大し、アクセス権限を昇格させる可能性があります。
データ漏洩とホスト乗っ取り: ローカルサーバー上で実行される場合、悪意のあるアクティビティは機密データの盗難やシステム全体の乗っ取りにつながる可能性があり、資格情報の漏洩、ソースコードの暴露、さらなるインフラストラクチャ侵害を引き起こすリスクが高まります。
対策
- 不要な拡張機能の無効化または削除: 必要としない開発ツール、プラグイン、サービスを最小限に抑えることで攻撃面を縮小します。
- ローカルネットワークセキュリティの強化: 開発関連サービスの流入流出を厳密に制御する堅牢なファイアウォールを設定します。
- 更新ポリシーの実施: オペレーティングシステム、IDE、拡張機能、開発依存関係に対するセキュリティアップデートの迅速なインストールを優先する厳格なパッチ管理ルーチンを導入します。