Написать пост

Эксперт нашёл общую «дыру» в безопасности большинства редакторов кода

Аватарка пользователя Булат Яббаров

Для того, чтобы она сработала, редактор должен уметь раскрывать процедурные макросы. В качестве демонстрации уязвимости, специалист выбрал VSCode.

Специалист по кибербезопасности Джаред Харпер обнаружил уязвимость в редакторе кода VSCode. С её помощью злоумышленники могут передавать произвольные файлы. Для этого достаточно открыть в редакторе написанный определённым образом исходный код.

Эксперт нашёл общую «дыру» в безопасности большинства редакторов кода 1

Эксперт показал, как при открытии Rust-кода с использованием плагина расширения синтаксиса (так называемого процедурного макроса) открывается возможность выстроить соединение с хостом 127.0.0.1:8080 и отправить содержимое файла ~/.ssh/id_rsa с SSH-ключами пользователя.

При этом VSCode был использован лишь в качестве примера, пишет SecurityLab. Точно такой же трюк можно провернуть в принципе с любым редактором, раскрывающим процедурные макросы.

Специалист даже записал видео, в котором продемонстрировал произведённую им атаку:

Превью видео RRLw3OBJ0fM

Источник: SecurityLab

Следите за новыми постами
Следите за новыми постами по любимым темам
1К открытий1К показов