Siber Güvenlik

Kritik: Popüler VSCode Eklentilerindeki Açıklar Geliştiricileri Tehdit Ediyor

teknomers
teknomers

Giriş

Geliştiricilere yönelik popüler Visual Studio Code (VSCode) eklentilerinde tespit edilen güvenlik açıkları, kritik seviyede riskler sunuyor. Bu açıklar, toplamda 128 milyondan fazla indirilen uzantılarda yer alarak önemli veri ihlallerine ve kötü amaçlı kod yürütülmesine olanak tanıyabiliyor.

Contents

Saldırı Nasıl Çalışıyor?

VSCode eklentileri, Microsoft’un entegre geliştirme ortamını (IDE) genişleten ek bileşenlerdir. Bu uzantılar, dosyalara, terminal erişimine ve ağ kaynaklarına önemli erişim hakkı ile çalışırlar. Aşağıda, tespit edilen kritik güvenlik açıkları ve CVE kodları bulunmaktadır:

  • Live Server (CVE-2025-65715): Kullanıcıları kötü amaçlı bir web sayfasına yönlendirerek yerel dosyaları çalabilir.
  • Code Runner (CVE-2025-65716): Uzantının yapılandırma dosyasının değiştirilmesi ile uzaktan kod yürütülmesine izin verir.
  • Markdown Preview Enhanced (CVE-2025-65717): Kötü amaçlı hazırlanmış bir Markdown dosyası aracılığıyla JavaScript kodu çalıştırılabilir.
  • Microsoft Live Preview: 0.4.16’dan önceki sürümlerinde bir tıklama ile XSS açığı bulunmaktadır.

Etkilenen Sistemler

Bu güvenlik açıkları sadece popüler VSCode eklentileri değil, aynı zamanda Cursor ve Windsurf gibi VSCode uyumlu yapay zeka destekli alternatif IDE’leri de etkilemektedir. Ox Security araştırmacıları, bu sorunların ağ üzerinde yayılma ve hassas bilgilerin çalınma potansiyelini artırdığını vurgulamaktadır.

Çözüm ve Korunma

Geliştiricilerin güvenliği artırmak için alması gereken bazı önlemler şunlardır:

  • Gerekmedikçe localhost sunucuları çalıştırmaktan kaçının.
  • Kötü amaçlı HTML dosyalarını açmadan önce dikkatli olun.
  • Güvensiz yapılandırmalar uygulamaktan ve settings.json dosyasına zararlı kod parçacıkları yapıştırmaktan kaçının.
  • Gereksiz eklentileri kaldırın ve yalnızca saygın yayıncılardan olanları yükleyin.
  • Beklenmedik yapılandırma değişikliklerini izleyin.

Sonuç

Geliştiricilerin, VSCode eklentilerindeki bu açıklarla ilgili derhal güncellemeler yapmaları ve tehlikeli eklentileri kaldırmaları gerekir. Ayrıca, güvenliğimizi artırmak için önerilen önlemleri hayata geçirerek sistemlerimizi korumalıyız.

Acil: Çalınan GitHub Token’ıyla Kod Tabanı Nasıl Çalınıyor?
Microsoft, Avrupa’da Windows 10 güvenlik güncellemelerini ücretsiz sunacak.
La Reggina, Nissa Karşısında Kritik Üç Puanı Kazandı
Google 2FA Senkronizasyon Özelliği Gizliliğinizi Riske Atabilir
Meta’nın iptal çılgınlığı Facebook Gaming uygulamasıyla devam ediyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Meta ve Diğer Teknoloji Şirketleri Neden OpenClaw’ı Yasakladı?
Sonraki Makale Dell XPS 14 (2026) incelemesi: İki adım ileriye doğru

Sanal Medya

Son Eklenenler

Belirli Bir Kelimeye Bağlantı Nasıl Paylaşılır? İşte Bilmeniz Gerekenler!
Genel
Prusa Research, INDX için tamamen spektrum çalışmalarına başladı
Donanım
82-0 En İyi Basketbol Oyunu, NBA 2K’ya Elveda!
Liste
Bungie, Marathon Deluxe Edition Sorununu Ücretsiz Oyunla Çözüyor
Oyun
Final Fantasy 7 Yenilikleri İlk Fragmanı ile Gözler Önünde
Oyun
Kabuto Park Yaz Tatilinin Geçiciliğini Yakalıyor
Liste