ช่องโหว่วิกฤตใน VS Code Extensions ยอดนิยม 4 ตัว ที่มีการติดตั้งรวมกว่า 125 ล้านครั้ง

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ด้านความปลอดภัยหลายจุดใน VS Code Extensions ยอดนิยม 4 ตัว ได้แก่ Live Server, Code Runner, Markdown Preview Enhanced และ Microsoft Live Preview ซึ่งหากถูกใช้ประโยชน์สำเร็จ อาจทำให้ผู้โจมตีสามารถขโมยไฟล์ในเครื่องและเรียกใช้โค้ดจากระยะไกลได้ Extension เหล่านี้มีการติดตั้งรวมกันมากกว่า 125 ล้านครั้ง นักวิจัยจาก OX Security เน้นย้ำว่าช่องโหว่เหล่านี้สามารถเป็นจุดเริ่มต้นให้ผู้โจมตีเจาะระบบและเคลื่อนที่ในแนวนอนเพื่อเข้าถึงข้อมูลหรือควบคุมองค์กรได้ แม้ว่า Microsoft Live Preview จะได้รับการแก้ไขอย่างเงียบๆ แล้ว แต่ Extension อีกสามตัวยังคงไม่มีการแพตช์

Severity: วิกฤต

System Impact:

• Microsoft Visual Studio Code (VS Code)
• VS Code Extension: Live Server
• VS Code Extension: Code Runner
• VS Code Extension: Markdown Preview Enhanced
• VS Code Extension: Microsoft Live Preview
• Local development HTTP server (localhost:5500)
• สภาพแวดล้อมการพัฒนาของนักพัฒนา

Technical Attack Steps:

1. **Live Server (CVE-2025-65717) – การขโมยไฟล์ในเครื่อง:** ผู้โจมตีหลอกนักพัฒนาให้เข้าชมเว็บไซต์อันตรายในขณะที่ Live Server ทำงานอยู่ ทำให้ JavaScript ที่ฝังอยู่ในหน้าเว็บสามารถเข้าถึงและดึงไฟล์จาก Local Development HTTP Server ที่ทำงานอยู่ที่ localhost:5500 และส่งไปยังโดเมนที่ผู้โจมตีควบคุม
2. **Markdown Preview Enhanced (CVE-2025-65716) – การเรียกใช้โค้ด JavaScript โดยพลการ:** ผู้โจมตีอัปโหลดไฟล์ Markdown (.md) ที่สร้างขึ้นเป็นพิเศษ ซึ่งอนุญาตให้มีการเรียกใช้โค้ด JavaScript โดยพลการ ทำให้สามารถนับพอร์ตในเครื่องและส่งข้อมูลออกไปยังโดเมนที่ผู้โจมตีควบคุม
3. **Code Runner (CVE-2025-65715) – การเรียกใช้โค้ดโดยพลการจากระยะไกล (RCE):** ผู้โจมตีชักจูงผู้ใช้ (เช่น ผ่านฟิชชิ่งหรือโซเชียลเอ็นจิเนียริ่ง) ให้แก้ไขไฟล์ “settings.json” ซึ่งการเปลี่ยนแปลงนี้จะเปิดใช้งานการเรียกใช้โค้ดโดยพลการ
4. **Microsoft Live Preview (ไม่มี CVE, ได้รับการแก้ไขแล้ว) – การเข้าถึงไฟล์ที่ละเอียดอ่อน:** ผู้โจมตีหลอกเหยื่อให้เข้าชมเว็บไซต์อันตรายในขณะที่ส่วนขยายทำงานอยู่ ซึ่งจะทำให้มีการร้องขอ JavaScript ที่สร้างขึ้นเป็นพิเศษเพื่อกำหนดเป้าหมาย localhost เพื่อแจงนับและส่งไฟล์ที่ละเอียดอ่อน

Recommendations:

Short Term:

• หลีกเลี่ยงการใช้การกำหนดค่าที่ไม่น่าเชื่อถือ
• ปิดใช้งานหรือถอนการติดตั้ง VS Code Extensions ที่ไม่จำเป็น
• เสริมความแข็งแกร่งของเครือข่ายภายในด้วยไฟร์วอลล์เพื่อจำกัดการเชื่อมต่อขาเข้าและขาออก
• ปิดบริการที่อิงกับ localhost เมื่อไม่ได้ใช้งาน

Long Term:

• อัปเดต VS Code Extensions ทั้งหมดเป็นเวอร์ชันล่าสุดเป็นประจำ
• ระมัดระวังเกี่ยวกับสถานะความปลอดภัยของ Extension ที่ติดตั้งทั้งหมด เนื่องจาก Extension ที่มีช่องโหว่หรือเป็นอันตรายเพียงตัวเดียวก็สามารถบุกรุกระบบทั้งหมดได้

Source: https://thehackernews.com/2026/02/critical-flaws-found-in-four-vs-code.html