Olayın Özeti
Microsoft, Visual Studio Code (VS Code) üzerindeki eklentilerin otomatik güncellenme süresini iki saat geciktirerek yazılım tedarik zinciri tehditlerine karşı bir önlem alacağını duyurdu. Bu yeni özellik, potansiyel olarak tehlikeli veya sorunlu sürümlerin otomatik olarak güncellenmeden önce filtrasyondan geçmesini sağlamak amacıyla geliştirilmiştir.
Saldırı Nasıl Çalışıyor?
Gecikme, VS Code 1.123 sürümünden itibaren geçerli olacak. Microsoft, otomatik güncellemeler aktif olduğunda, yeni sürümlerin yayınlandıktan iki saat sonra güncelleneceğini belirtiyor. Bu sayede kullanıcıların, zararlı olabilecek sürümlerin daha az riskle karşılaşması hedefleniyor. Ancak kullanıcılar, istedikleri zaman “Güncelle” butonunu kullanarak eklentilerini hemen güncelleyebilir. Bekleyen güncellemeler için neden güncellenmediği ile ilgili bilgilere detaylar bölümünden ulaşmak mümkün olacak.
Etkilenen Sistemler
Bu iki saatlik gecikme, Microsoft, GitHub ve OpenAI gibi güvenilir yayımlayıcılardan gelen eklentiler için geçerli olmayacak ve bu eklentiler hemen güncellenecek. Diğer yandan, RubyGems de Bundler 4.0.13 sürümüne yeni bir özellik ekleyerek yayınlanan gem sürümlerinin kurulumu için bir geri bekleme süresi tanıyarak benzer bir önlem almış durumda.
Çözüm ve Korunma
Yazılım tedarik zincirine yönelik bu tehditlerin artması, geliştiricilerin sistemlerini hedef alarak kullanıcılarına malware bulaştırma eğilimlerini ciddi bir şekilde artırmaktadır. Diğer paket yöneticilerinin de benzer koruma mekanizmaları geliştirdiği görülmektedir:
- Bun – minimumReleaseAge (Bun 1.3+)
- npm – min-release-age (npm v11.10.0+)
- pnpm – minimumReleaseAge (pnpm 10.16+)
- Yarn – npmMinimalAgeGate (Yarn Berry 4.10.0+)
Bu değişiklikler, yeni yayımlanan tehditlerin yüklenmesi sırasında potansiyel tehlike süresinin en aza indirilmesini amaçlamaktadır.
Sonuç
Kullanıcılar, otomatik güncellemelerin sağladığı bu gecikme mekanizmasını göz önünde bulundurarak yazılımlarını güncel tutmalıdır. Özellikle güvenilir yayımlayıcılardan gelen eklentileri tercih etmek ve olası güvenlik açıklarını en aza indirmek amacıyla yazılım güncellemelerini düzenli olarak kontrol etmelisiniz. Ayrıca kaynaklarınıza yönelik güvenlik denetimleri yaparak potansiyel tehditleri erkenden tespit edebilirsiniz.
