Microsofts Visual Studio Code, een editor voor het bewerken van broncode, was kwetsbaar voor aanvallen doordat de remote debugger standaard stond ingeschakeld. Hierdoor had een aanvaller op het lokale netwerk in het ergste geval volledige controle over het onderliggende systeem kunnen krijgen.
Via de remote debugger van Visual Studio Code is het mogelijk om op afstand code te controleren. De debugger stond echter standaard ingeschakeld en luisterde naar een willekeurige poort op het systeem. Een lokale aanvaller die deze poort wist te achterhalen kon via de remote debugger vervolgens code op het systeem van de gebruiker uitvoeren. Afhankelijk van de rechten waarmee de gebruiker was ingelogd kon zo volledige controle over het systeem worden verkregen.
De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt, die Microsoft op 3 oktober over het probleem informeerde. Op 10 oktober ontdekte Ormandy dat Microsoft het probleem via een update in de Visual Studio Code-repository had verholpen. Daarnaast was er een gepatchte testversie van de editor uitgekomen. Microsoft had dit echter niet aan de onderzoeker gecommuniceerd. Ormandy wilde het beveiligingslek dan ook openbaar maken, wat met instemming van Microsoft op 10 oktober gebeurde. Gisterenavond verscheen echter pas het officiële beveiligingsbulletin van Microsoft dat er een beveiligingsupdate beschikbaar is. De update verhelpt de manier waarop debugpoorten in Visual Studio Code worden ingeschakeld.
Visual Studio Code is gebaseerd op het Electron-framework. Volgens Ormandy komt het geregeld voor dat op Electron en het Chromium Embedded Framework (CEF) gebaseerde applicaties de debugger hebben ingeschakeld terwijl dit niet de bedoeling is. Hij ontwikkelde deze gratis tool waarmee dergelijke debuggers zijn te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.