はじめに
人気の統合開発環境(IDE)であるCursorとWindsurfの最新リリースに、ChromiumブラウザおよびV8 JavaScriptエンジンにおける94以上の既知およびパッチ適用済みのセキュリティ脆弱性が存在することが明らかになりました。これにより、推定180万人の開発者がリスクに晒されていると報じられています。
脆弱性の詳細
Ox Securityの研究者によると、これらの開発環境は古いソフトウェアに基づいて構築されており、オープンソースのChromiumブラウザとGoogleのV8エンジンの古いバージョンが含まれています。具体的には、CursorとWindsurfは、Web技術(HTML、CSS、JavaScript)を使用してクロスプラットフォームアプリを構築するためのElectronフレームワークの古いリリースを含む、古いバージョンのVS Codeに依存しています。
ElectronはChromiumとV8を組み込んでいるため、IDEは時代遅れのChromiumおよびV8エンジンに依存することになり、新しいバージョンではすでにパッチが適用されている脆弱性に晒されています。Ox Securityは、CursorとWindsurfが使用しているChromiumビルドには、少なくとも94の脆弱性が存在すると指摘しています。
攻撃経路と潜在的リスク
Ox Securityは、CVE-2025-7656(Maglev JIT整数オーバーフロー)の脆弱性を悪用するデモンストレーションを行いました。これは、ディープリンクを介してCursorを実行し、そのブラウザにエクスプロイトペイロードをホストするリモートURLにアクセスするよう指示することで、サービス拒否(クラッシュ)を引き起こすものです。
研究者らは、任意コード実行も現実的な攻撃で可能であると警告しています。攻撃者は、以下のような複数の方法で脆弱性を悪用する可能性があります。
- 悪意のある拡張機能を使用する
- ドキュメントやチュートリアルにエクスプロイトコードを注入する
- 古典的なフィッシング攻撃を利用する
- リポジトリに悪意のあるコード(例:READMEファイル)を仕込む
最新のVS Codeは定期的に更新され、既知のバグに対処しているため、この脆弱性の影響を受けません。
ベンダーの対応
Ox Securityが10月12日に責任ある情報開示を行ったにもかかわらず、Cursorはこの報告を「範囲外」と見なし、Windsurfは応答していません。Cursorの最後のChromium更新は2025年3月21日(バージョン0.47.9、Chromium 132.0.6834.210)であり、それ以降、少なくとも94の既知のCVEが公開されています。BleepingComputerがCursorとWindsurfにコメントを求めたものの、記事公開時点までに返答はありませんでした。
対策と今後の展望
この問題は、古いElectronアプリからn-day脆弱性が継承されるという根本的な課題を浮き彫りにしています。開発者コミュニティは、使用しているIDEが最新のセキュリティパッチを適用しているかを確認し、可能な限り最新バージョンへの更新を検討することが強く推奨されます。IDEベンダーは、ユーザーのセキュリティを確保するために、基盤となるコンポーネントの迅速な更新と脆弱性報告への適切な対応が求められます。