الصفحات
بحث
تحذير: ثغرات خطيرة في إضافات VSCode تهدد 128 مليون مطور
الأمن السيبراني #الأمن_السيبراني #VSCode

تحذير: ثغرات خطيرة في إضافات VSCode تهدد 128 مليون مطور

تاريخ النشر: 3 مشاهدة 0 تعليق 3 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

اكتشف باحثون أمنيون ثغرات خطيرة في إضافات شهيرة لـ Visual Studio Code (VSCode) تم تنزيلها مجتمعة أكثر من 128 مليون مرة، مما يعرض المطورين لخطر سرقة الملفات وتنفيذ التعليمات البرمجية عن بعد.

وفقاً لتقرير صادر عن شركة أمن التطبيقات Ox Security، تم العثور على هذه العيوب الأمنية في يونيو 2025، لكن الباحثين أفادوا بأن مطوري الإضافات لم يستجيبوا لمحاولات الكشف المسؤولة عن الثغرات.

ثغرات تهدد بيئة التطوير المتكاملة (IDE)

تُعد إضافات VSCode أدوات قوية توسع من وظائف بيئة التطوير المتكاملة التي تقدمها مايكروسوفت، حيث تضيف دعماً للغات برمجة جديدة وأدوات تصحيح أخطاء وغيرها. لكنها في المقابل تعمل بصلاحيات وصول واسعة إلى بيئة التطوير المحلية، بما في ذلك الملفات والشبكات.

وحذرت Ox Security من أن استغلال هذه الثغرات قد يسمح للمهاجمين بالتحرك جانبياً داخل شبكة الشركة، وسرقة البيانات الحساسة، والسيطرة الكاملة على الأنظمة المخترقة.

تفاصيل الثغرات المكتشفة

شملت قائمة الإضافات المصابة أدوات يستخدمها ملايين المطورين حول العالم، وتتضمن ما يلي:

  • Live Server: هذه الإضافة التي تم تنزيلها أكثر من 72 مليون مرة، تحتوي على الثغرة CVE-2025-65717. يمكن للمهاجم استغلالها لسرقة الملفات المحلية عبر توجيه المطور إلى صفحة ويب خبيثة.
  • Code Runner: مع 37 مليون عملية تنزيل، تسمح الثغرة CVE-2025-65715 في هذه الإضافة بتنفيذ تعليمات برمجية عن بعد. يتم ذلك عن طريق خداع المطور لتطبيق مقطع برمجي خبيث في ملف الإعدادات settings.json.
  • Markdown Preview Enhanced: هذه الإضافة (8.5 مليون تنزيل) مصابة بالثغرة CVE-2025-65716 المصنفة على أنها عالية الخطورة بدرجة 8.8. يمكن استغلالها لتنفيذ شيفرات جافا سكريبت عبر ملف Markdown مُعد خصيصاً.
  • Microsoft Live Preview: اكتشف الباحثون ثغرة XSS بنقرة واحدة في الإصدارات الأقدم من 0.4.16 من هذه الإضافة (أكثر من 11 مليون تنزيل)، والتي يمكن استغلالها للوصول إلى الملفات الحساسة على جهاز المطور.

وأشار التقرير إلى أن هذه العيوب الأمنية لا تقتصر على VSCode فحسب، بل تؤثر أيضاً على بيئات تطوير بديلة متوافقة معه مثل Cursor وWindsurf.

كيف تحمي نفسك كمطور؟

قدمت Ox Security مجموعة من التوصيات العاجلة للمطورين لتقليل المخاطر وحماية بيئات عملهم:

  • إزالة الإضافات غير الضرورية: قم بمراجعة الإضافات المثبتة وتخلص من أي إضافة لا تستخدمها بانتظام.
  • تجنب المصادر غير الموثوقة: لا تقم بتطبيق إعدادات أو لصق مقاطع برمجية في ملف settings.json من مصادر لا تثق بها.
  • الحذر عند تشغيل الخوادم المحلية: تجنب تشغيل خوادم localhost إلا عند الضرورة القصوى، ولا تفتح ملفات HTML غير موثوقة أثناء تشغيلها.
  • التدقيق في الناشرين: قم بتثبيت الإضافات من ناشرين ذوي سمعة جيدة فقط.
  • مراقبة التغييرات: راقب أي تغييرات غير متوقعة في ملفات الإعدادات الخاصة بك.

تسلط هذه الاكتشافات الضوء على المخاطر المتزايدة في سلسلة توريد البرمجيات، وتؤكد على أهمية التدقيق الأمني المستمر للإضافات والأدوات التي يعتمد عليها المطورون يومياً.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##الأمن_السيبراني ##VSCode ##تطوير_البرمجيات

الأسئلة الشائعة

أبرز المخاطر هي إمكانية تنفيذ تعليمات برمجية عن بعد (RCE) على جهاز المطور، وسرقة الملفات المحلية الحساسة مثل مفاتيح API وملفات الإعدادات.

الإضافات المصابة المذكورة في التقرير هي Code Runner، Live Server، Markdown Preview Enhanced، و Microsoft Live Preview.

يُنصح المطورون بإزالة الإضافات غير الضرورية، وتجنب تطبيق إعدادات من مصادر غير موثوقة، وتثبيت الإضافات من ناشرين موثوقين فقط، ومراقبة أي تغييرات غير متوقعة في الإعدادات.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!