Veraltete Chromium-Basis: Beliebte KI-Coding-IDEs gefährden Millionen Entwickler
Die beiden KI-Coding-Entwicklungsumgebungen Cursor und Windsurf weisen offenbar eine lange Liste ungepatchter Sicherheitslücken auf. Untersuchungen von OX Security(öffnet im neuen Fenster) zeigen, dass beide IDEs auf veralteten Versionen von VS Code basieren, die wiederum anfällig für mindestens 94 bekannte Chromium-Lücken sind. Nach Angaben der Sicherheitsforscher betrifft das rund 1,8 Millionen Entwickler.
Die Forscher veranschaulichen das Problem beispielhaft anhand von CVE-2025-7656(öffnet im neuen Fenster) – einer Sicherheitslücke in der Javascript-Engine V8, die Google schon im Juli gepatcht hatte . Trotz monatelanger Verfügbarkeit des Patches soll sich die Lücke in den aktuellen Versionen von Cursor und Windsurf noch immer ausnutzen lassen.
Den Angaben nach gelingt der Angriff durch das Erstellen von Javascript-Funktionen mit extrem langen Argumentlisten. Bei deren Verarbeitung kommt es zu einem Integer-Überlauf, der im harmlosesten Fall nur einen Programmabsturz zur Folge hat. Aber auch eine Schadcodeausführung ist nicht auszuschließen, so dass Angreifer etwa Daten exfiltrieren oder Softwareprojekte der Nutzer manipulieren können.
Chromium-Codebasis mehrere Monate alt
Wie so ein Angriff in der Praxis aussieht, demonstrieren die Forscher in einem kurzen Videoclip, in dem sie die Cursor-IDE unter Einsatz von CVE-2025-7656 zum Absturz bringen. In aktuellen Versionen von VS Code soll das nicht funktionieren, weil der integrierte Chromium-Browser dort regelmäßig ein Update erhält. Bei Cursor und Windsurf hingegen soll Chromium zuletzt im März aktualisiert worden sein.
"Es gibt mehr als 94 bekannte Schwachstellen in den zugrunde liegenden Komponenten, die für eine Codeausführung aus der Ferne ausgenutzt werden könnten" , warnen die Forscher. Entsprechende Angriffe sollen beispielsweise durch bösartige Erweiterungen, speziell gestaltete Readme-Files in Softwareprojekten sowie durch gezielte Phishing-Kampagnen möglich sein.
Konsequente Updates gefordert
Für reguläre Anwender gibt es nach Angaben von OX Security bis auf den Verzicht auf Cursor und Windsurf nichts, was sie für ihren eigenen Schutz tun können. Die Forscher fordern daher in ihrem Bericht die Entwickler der betroffenen IDEs dazu auf, das integrierte Electron-Framework sowie die Chromium-Codebasis konsequent zu aktualisieren und diesen Vorgang zu automatisieren. "94 bekannte Schwachstellen sind inakzeptabel" , betonen die Forscher.
Ob die Entwickler von Cursor und Windsurf entsprechend reagieren, bleibt jedoch abzuwarten. OX Security hat diese nach eigenen Angaben am 12. Oktober auf die entdeckten Probleme aufmerksam gemacht. Das im Sommer von Google übernommene Start-up Windsurf soll darauf bisher gar nicht reagiert haben. Bei Cursor hingegen sah man wohl keinen Handlungsbedarf. Cursor war schon im September durch eine aus Security-Perspektive recht fragwürdige Entscheidung aufgefallen.