Исследователи в области кибербезопасности выявили несколько серьёзных ошибок в четырёх широко используемых расширениях для редактора кода Visual Studio Code от Microsoft. Если ими воспользоваться, злоумышленники могут украсть файлы с локального компьютера разработчика или удалённо выполнить вредоносный код даже без прямого доступа к системе.
Эти плагины вместе установлены более чем в 125 млн копий, что делает проблему особенно масштабной: уязвимости есть в инструментах, на которые полагаются тысячи разработчиков и целые организации.
Какие расширения оказались уязвимыми
Проблемы обнаружены в следующих расширениях:
Live Server - плагин для запуска локального веб-сервера и просмотра веб-страниц в реальном времени.
Code Runner - позволяет запускать код разных языков прямо из редактора.
Markdown Preview Enhanced - улучшенный просмотр Markdown-файлов.
Microsoft Live Preview - официальный инструмент Microsoft для предпросмотра изменений.
В чём заключается опасность
По данным исследователей из компании OX Security, каждая из этих уязвимостей может быть эксплуатирована удалённо и чаще всего при посещении пользователем вредоносного сайта с запущенным в фоне VS Code.
Вот краткая характеристика обнаруженных проблем:
Live Server (CVE-2025-65717) - критическая уязвимость (оценка 9.1 по CVSS), при которой JavaScript на злонамеренной странице может получить доступ к файлам на локальном сервере разработки и отправить их на сторонний домен. Эта проблема ещё не исправлена.
Markdown Preview Enhanced (CVE-2025-65716) - злоумышленник может подготовить специально оформленный
.md-файл, который позволит выполнить произвольный JavaScript, просканировать локальные порты и отправить данные на свой сервер. Тоже без исправления.Code Runner (CVE-2025-65715) - ошибка (оценка 7.8), при которой через фишинговую или социально-инженерную атаку можно убедить пользователя изменить файл настроек, что приводит к выполнению произвольного кода. Не исправлено.
Microsoft Live Preview - баг, позволяющий получить доступ к конфиденциальным файлам на компьютере, также через посещение вредоносной страницы. Для него CVЕ не присвоен, но Microsoft тихо выпустила обновление, устраняющее проблему (в версии 0.4.16 от сентября 2025 г.).
Почему это критично
Как подчёркивают эксперты, расширения VS Code функционируют с широкими правами доступа к локальным файлам, сети и среде разработки. Ошибки в таких плагинах превращают их в потенциальные точки входа для атак с последствиями (утечка корпоративного или личного кода; компрометация ключей доступа и конфигураций; полномасштабное заражение рабочей станции).
"Достаточно только одной уязвимости в одном расширении, чтобы злоумышленник мог перемещаться внутри сети организации и захватывать всё больше ресурсов", - отмечают исследователи.
Что делать, чтобы снизить риски
Чтобы защитить среду разработки, эксперты рекомендуют:
не устанавливать непроверенные расширения;
отключать или удалять те, что не нужны;
использовать брандмауэр и ограничивать сетевые подключения;
регулярно обновлять расширения;
отключать сервисы, работающие на localhost, когда они не нужны.
Ошибки в расширениях это распространённый, но часто недооценённый вектор атак. Даже легитимные плагины, если они плохо написаны или долго не обновлялись, способны стать источником серьёзных проблем для безопасности.
Источник: CSO