Investigadores de Trail of Bits han descubierto y revelado tres vulnerabilidades en extensiones de VSCode, incluyendo una en el propio VSCode que permite eludir medidas de seguridad (CVE-2022-41042) y que podría haber permitido el robo de archivos locales. La investigación, motivada por la evaluación de la seguridad de extensiones utilizadas en auditorías, se centra en cómo las vulnerabilidades en extensiones, especialmente aquellas que procesan datos no confiables, pueden comprometer la seguridad del sistema. El ataque explota 'Webviews', paneles de interfaz de usuario sandboxed dentro de las extensiones, para inyectar código malicioso. Los atacantes pueden eludir las restricciones de Content Security Policy (CSP) mediante técnicas como el 'DNS prefetching' y 'DNS rebinding' para exfiltrar archivos sensibles, incluyendo claves SSH, incluso si se visita un sitio web malicioso. La investigación también destaca la importancia de una configuración adecuada de 'localResourceRoots' y la necesidad de evitar la ejecución de JavaScript no confiable dentro de Webviews, ya que esto puede permitir el acceso a archivos fuera de los directorios permitidos. Un segundo post del blog profundizará en una vulnerabilidad en VSCode mismo.
Noticias agregadas con IA