image

Visual Studio Code was kwetsbaar door remote debugger

vrijdag 18 oktober 2019, 09:32 door Redactie, 3 reacties

Microsofts Visual Studio Code, een editor voor het bewerken van broncode, was kwetsbaar voor aanvallen doordat de remote debugger standaard stond ingeschakeld. Hierdoor had een aanvaller op het lokale netwerk in het ergste geval volledige controle over het onderliggende systeem kunnen krijgen.

Via de remote debugger van Visual Studio Code is het mogelijk om op afstand code te controleren. De debugger stond echter standaard ingeschakeld en luisterde naar een willekeurige poort op het systeem. Een lokale aanvaller die deze poort wist te achterhalen kon via de remote debugger vervolgens code op het systeem van de gebruiker uitvoeren. Afhankelijk van de rechten waarmee de gebruiker was ingelogd kon zo volledige controle over het systeem worden verkregen.

De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt, die Microsoft op 3 oktober over het probleem informeerde. Op 10 oktober ontdekte Ormandy dat Microsoft het probleem via een update in de Visual Studio Code-repository had verholpen. Daarnaast was er een gepatchte testversie van de editor uitgekomen. Microsoft had dit echter niet aan de onderzoeker gecommuniceerd. Ormandy wilde het beveiligingslek dan ook openbaar maken, wat met instemming van Microsoft op 10 oktober gebeurde. Gisterenavond verscheen echter pas het officiële beveiligingsbulletin van Microsoft dat er een beveiligingsupdate beschikbaar is. De update verhelpt de manier waarop debugpoorten in Visual Studio Code worden ingeschakeld.

Visual Studio Code is gebaseerd op het Electron-framework. Volgens Ormandy komt het geregeld voor dat op Electron en het Chromium Embedded Framework (CEF) gebaseerde applicaties de debugger hebben ingeschakeld terwijl dit niet de bedoeling is. Hij ontwikkelde deze gratis tool waarmee dergelijke debuggers zijn te vinden.

Image

Reacties (3)
18-10-2019, 18:04 door Anoniem
Software dat niet zonder internet werkt is rommel.
19-10-2019, 08:37 door [Account Verwijderd]
Door Anoniem: Software dat niet zonder internet werkt is rommel.

Nou zeg! En al die browsers, e-mailprogramma's, etc. dan?
19-10-2019, 13:53 door Anoniem
Door Superuser:
Nou zeg! En al die browsers, e-mailprogramma's, etc. dan?

Daarvoor is internet vereist en is speciaal voor internet.
Voor een compiler is internet niet nodig, ze maken het zo dat die anders niet werkt,
heel veel dingen tegenwoordig, met internet heb je dit niet door.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.