Siber Güvenlik

Kritik: VS Code, Tedarik Zinciri Saldırılarını Önlemek İçin Gecikme Getirdi

teknomers
teknomers

Olayın Özeti

Microsoft, Visual Studio Code (VS Code) üzerindeki eklentilerin otomatik güncellenme süresini iki saat geciktirerek yazılım tedarik zinciri tehditlerine karşı bir önlem alacağını duyurdu. Bu yeni özellik, potansiyel olarak tehlikeli veya sorunlu sürümlerin otomatik olarak güncellenmeden önce filtrasyondan geçmesini sağlamak amacıyla geliştirilmiştir.

Contents

Saldırı Nasıl Çalışıyor?

Gecikme,  VS Code 1.123  sürümünden itibaren geçerli olacak. Microsoft, otomatik güncellemeler aktif olduğunda, yeni sürümlerin yayınlandıktan  iki saat sonra  güncelleneceğini belirtiyor. Bu sayede kullanıcıların, zararlı olabilecek sürümlerin daha az riskle karşılaşması hedefleniyor. Ancak kullanıcılar, istedikleri zaman “Güncelle” butonunu kullanarak eklentilerini hemen güncelleyebilir. Bekleyen güncellemeler için neden güncellenmediği ile ilgili bilgilere detaylar bölümünden ulaşmak mümkün olacak.

Etkilenen Sistemler

Bu iki saatlik gecikme, Microsoft, GitHub ve OpenAI gibi güvenilir yayımlayıcılardan gelen eklentiler için geçerli olmayacak ve bu eklentiler hemen güncellenecek. Diğer yandan, RubyGems de  Bundler 4.0.13  sürümüne yeni bir özellik ekleyerek yayınlanan gem sürümlerinin kurulumu için bir geri bekleme süresi tanıyarak benzer bir önlem almış durumda.

Çözüm ve Korunma

Yazılım tedarik zincirine yönelik bu tehditlerin artması, geliştiricilerin sistemlerini hedef alarak kullanıcılarına malware bulaştırma eğilimlerini ciddi bir şekilde artırmaktadır. Diğer paket yöneticilerinin de benzer koruma mekanizmaları geliştirdiği görülmektedir:

  • Bun – minimumReleaseAge (Bun 1.3+)
  • npm – min-release-age (npm v11.10.0+)
  • pnpm – minimumReleaseAge (pnpm 10.16+)
  • Yarn – npmMinimalAgeGate (Yarn Berry 4.10.0+)

Bu değişiklikler, yeni yayımlanan tehditlerin yüklenmesi sırasında potansiyel tehlike süresinin en aza indirilmesini amaçlamaktadır.

Sonuç

Kullanıcılar, otomatik güncellemelerin sağladığı bu gecikme mekanizmasını göz önünde bulundurarak yazılımlarını güncel tutmalıdır. Özellikle güvenilir yayımlayıcılardan gelen eklentileri tercih etmek ve olası güvenlik açıklarını en aza indirmek amacıyla yazılım güncellemelerini düzenli olarak kontrol etmelisiniz. Ayrıca kaynaklarınıza yönelik güvenlik denetimleri yaparak potansiyel tehditleri erkenden tespit edebilirsiniz.

22.04.23 Haftası için Anime ve Manga Hızlı Nabız
Nisan güncellemeleri, Windows Server kimlik doğrulama sorunlarına yol açıyor.
5 Ocak İçin GTA Online Haftalık Güncelleme Sıfırlandı, İşte İndirimler, GTA Plus ve Daha Fazlası
Infostealer Kötü Amaçlı Yazılımlarını Yayan Yapay Zeka Tarafından Oluşturulan YouTube Video Eğitimleri
Destiny 2 PvE ve PvP için Tanrıyı Erteleme Yok
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale XRP Fiyatında Stabilizasyon: Dört Aylık Düşüklerin Üzerinde $1.10
Sonraki Makale Yeni Bir Macera: Spyro Ejderha, 20 Yıl Sonra Geri Dönüyor

Sanal Medya

Son Eklenenler

Suno, Bağımsız Sanatçıları AI Makinesine Besleyecek Spark Kuluçka Programını Başlattı
Liste
Monkey Soccer için heyecan verici güncellemeler geliyor!
Oyun
Ford Çalışanlarını Yeniden İstihdam Ediyor: AI Beklentileri Karşılamadı
Genel
PlayStation, İngiltere’deki 500’den fazla filmi siliyor
Donanım
Dünyanın En Hızlı Süper Bilgisayarı Çin’den Geldi
Liste
Küçük Şeyler Hayatımızı Yeniden Kazanmamızda Bize Nasıl Yardımcı Olur
Genel