Desktop-Version von VSCode weniger gefährdet
Grundsätzlich soll der Angriff auch bei der Desktop-Version von VSCode funktionieren. Dort sind die Hürden jedoch größer. Laut Askar muss die Zielperson in diesem Fall dazu gebracht werden, ein Repo des Angreifers zu klonen und ein bösartiges Skript zu öffnen. In Kombination mit einer zusätzlichen XSS-Schwachstelle soll dann aber auch eine Schadcodeausführung auf dem System der Zielperson möglich sein.
"Schreckliche Erfahrungen" mit Microsoft
An Github gemeldet(öffnet im neuen Fenster) hatte Askar die Lücke nach eigenen Angaben nur etwa eine Stunde vor der Offenlegung seines Exploits(öffnet im neuen Fenster). Als Grund für das Auslassen einer normalerweise von Sicherheitsforschern gewährten mehrwöchigen Korrekturfrist nennt Askar "schreckliche Erfahrungen", die er in der Vergangenheit mit dem Microsoft Security Response Center (MSRC) gemacht habe. Offenbar ist er diesbezüglich ähnlich verärgert wie Chaotic Eclipse, der in den letzten Wochen mehrere Zero-Day-Lücken für Windows geleakt hatte.
"Ich möchte mich wirklich nicht mit dem MSRC wegen Fehlern in VSCode auseinandersetzen", schreibt Askar in einem Kommentar auf Reddit(öffnet im neuen Fenster). In seinem Blog verweist er diesbezüglich auf einen früheren Fund, den Microsoft wohl als nicht sicherheitskritisch eingestuft, später aber trotzdem stillschweigend gepatcht hat, ohne dem Forscher dafür Anerkennung zu zollen.
"Ich werde künftig alle Sicherheitsfehler, die ich in VSCode finde, vollständig öffentlich machen", mahnt der Forscher. "Das Aufspüren und vollständige Ausarbeiten von Sicherheitslücken zu Proof-of-Concepts wie diesem erfordert Zeit und Mühe seitens der Sicherheitsforscher, was nicht respektlos behandelt oder als selbstverständlich angesehen werden sollte", so seine abschließenden Worte.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.