Visual Studio Code 安全漏洞可致恶意扩展程序窃取密码

重点摘要

• 漏洞概述 ：Microsoft Visual Studio Code 编辑器存在漏洞，恶意扩展程序可通过此漏洞窃取存储在 Windows、macOS 和 Linux 的凭证管理器中的身份验证令牌。
• 攻击机制 ：该漏洞源于 VS Code 的“秘密存储”API 中缺乏身份验证令牌隔离，攻击者可以利用此漏洞开发恶意扩展程序，窃取 CircleCI 的令牌。
• 开发者反应 ：Cycode 研究人员表示，已开发出一种概念验证的恶意扩展程序，能成功从其他扩展程序及 VS Code 内置的 GitHub 和 Microsoft 帐户的登录和同步功能中获取令牌。
• 修复状态 ：微软已经在两个月前获知该安全漏洞及概念验证，但尚未认为该问题需要修复，决定维持现有的秘密存储框架。

根据
报道，恶意扩展程序可能利用
Microsoft Visual Studio Code 编辑器和开发环境中的漏洞，进行身份验证令牌的窃取。这些令牌存储在 Windows、macOS 和
Linux 的凭证管理器中。Cycode 研究人员利用该漏洞开发出一种扩展程序，使其能够在未对扩展代码进行篡改的情况下窃取令牌。

“我们开发了一种概念验证的恶意扩展程序，成功地从其他扩展和 VS Code 的内置功能中检索令牌，包括 GitHub 和 Microsoft
帐户的登录及同步功能，这就是一种 ‘令牌窃取攻击，'” Cycode 表示。

微软表示，已于两个月前知道该安全漏洞及概念验证，但是目前没有将其视为解决问题的必要，选择维持现有的秘密存储框架。