ข่าวนี้เปิดเผยว่า IDE ที่เป็น ‘forks’ หรือเวอร์ชันที่แตกออกมาจาก Visual Studio Code (VS Code) อย่างเป็นทางการหลายตัว มีช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้ใช้เสี่ยงต่อการโจมตีผ่านส่วนเสริม (extension) ที่ถูกแนะนำ ช่องโหว่นี้เกิดขึ้นเนื่องจาก IDE เหล่านี้ไม่ได้นำกลไกการป้องกันความปลอดภัยสำคัญของ VS Code ต้นฉบับมาใช้ ซึ่งรวมถึงการจำกัดคำสั่งและการป้องกันแซนด์บ็อกซ์ ทำให้แฮกเกอร์สามารถสร้างส่วนเสริมที่เป็นอันตรายและแนะนำให้ผู้ใช้ติดตั้ง เมื่อผู้ใช้ติดตั้งส่วนเสริมดังกล่าว แฮกเกอร์จะสามารถรันโค้ดที่เป็นอันตรายบนระบบของผู้ใช้ได้โดยพลการ ซึ่งก่อให้เกิดความเสี่ยงสูงต่อการควบคุมระบบและการขโมยข้อมูล
Severity: สูง
System Impact:
- VS Code IDE forks (เช่น VSCodium, Coder’s FOSS-based IDE)
- ผู้ใช้งาน IDE เหล่านี้
- ระบบปฏิบัติการที่รัน IDE ที่มีช่องโหว่
Technical Attack Steps:
- ผู้โจมตีสร้างส่วนเสริม (extension) ที่มีโค้ดที่เป็นอันตรายซึ่งสามารถรันคำสั่งบนระบบได้ (เช่น การเข้าถึง Node.js API หรือรัน shell command)
- ผู้โจมตีหาช่องทางในการทำให้ส่วนเสริมที่เป็นอันตรายนี้ถูก ‘แนะนำ’ ให้กับผู้ใช้โดยแพลตฟอร์มของ VS Code fork ที่มีช่องโหว่ (อาจผ่านช่องโหว่ในระบบแนะนำส่วนเสริม หรือการหลอกลวง)
- ผู้ใช้ติดตั้งส่วนเสริมที่ถูกแนะนำโดยไม่รู้ว่าเป็นอันตราย
- ส่วนเสริมที่เป็นอันตรายจะใช้คำสั่งที่ไม่ได้รับการป้องกันจาก VS Code fork เพื่อรันโค้ดโดยพลการบนเครื่องของผู้ใช้ ทำให้ผู้โจมตีสามารถควบคุมระบบได้
Recommendations:
Short Term:
- ผู้ใช้งาน VS Code forks ควรระมัดระวังอย่างยิ่งในการติดตั้งส่วนเสริมที่ถูกแนะนำ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ หรือก่อนที่จะติดตั้ง ควรตรวจสอบความน่าเชื่อถือและความปลอดภัยของส่วนเสริมอย่างละเอียด
- พิจารณาใช้ Visual Studio Code เวอร์ชันทางการจาก Microsoft หากความปลอดภัยเป็นข้อกังวลหลัก เนื่องจากมีกลไกป้องกันที่แข็งแกร่งกว่า
Long Term:
- นักพัฒนาของ VS Code forks ควรตรวจสอบและนำกลไกความปลอดภัยที่สำคัญ เช่น การจำกัดคำสั่ง (command allow-listing) และการป้องกันแซนด์บ็อกซ์ (sandbox protection) ที่มีอยู่ใน Visual Studio Code ต้นฉบับมาใช้ในผลิตภัณฑ์ของตน
- ผู้ใช้งานควรสนับสนุนและกระตุ้นให้นักพัฒนา IDE ที่ใช้งานอยู่ดำเนินการปรับปรุงด้านความปลอดภัย และหมั่นอัปเดต IDE รวมถึงส่วนเสริมเป็นประจำ
Share this content: