CometSoul

make IT easy

  • Bahasa Indonesia
  • English

    • Celah Kritis di Ekstensi VS Code: Lebih dari 125 Juta Instalasi Berisiko

    by

    Juni Artawan
    in

    Peneliti keamanan siber menemukan sejumlah kerentanan serius pada empat ekstensi populer di Microsoft Visual Studio Code (VS Code). Jika dieksploitasi, celah ini berpotensi memungkinkan penyerang mencuri file lokal hingga menjalankan kode secara jarak jauh di mesin developer.

    Keempat ekstensi yang terdampak — Live Server, Code Runner, Markdown Preview Enhanced, dan Microsoft Live Preview — secara total telah diinstal lebih dari 125 juta kali. Temuan ini menunjukkan bahwa hanya satu ekstensi yang rentan saja sudah cukup untuk membuka jalan bagi kompromi yang lebih luas di lingkungan organisasi.

    Beberapa kerentanan utama yang diungkap antara lain:

    • CVE-2025-65717 (CVSS 9.1) — pada Live Server, memungkinkan pencurian file lokal melalui halaman web berbahaya yang memanfaatkan server lokal di localhost:5500. (Belum ditambal)
    • CVE-2025-65716 (CVSS 8.8) — pada Markdown Preview Enhanced, memungkinkan eksekusi JavaScript berbahaya lewat file markdown yang dimodifikasi. (Belum ditambal)
    • CVE-2025-65715 (CVSS 7.8) — pada Code Runner, memungkinkan eksekusi kode arbitrer jika pengguna tertipu mengubah settings.json. (Belum ditambal)
    • Microsoft Live Preview — memungkinkan akses file sensitif melalui request JavaScript ke localhost. Celah ini sudah diperbaiki diam-diam pada versi 0.4.16 (September 2025).

    Para peneliti menekankan bahwa ekstensi yang terlalu permisif, salah konfigurasi, atau berbahaya bisa menjadi pintu masuk serius bagi attacker. Dalam banyak kasus, cukup satu klik atau membuka repository tertentu untuk memicu kompromi.

    Untuk mengurangi risiko, developer dan tim IT disarankan melakukan audit ekstensi secara rutin, menghindari konfigurasi dari sumber tidak terpercaya, menonaktifkan ekstensi yang tidak diperlukan, serta memastikan semua ekstensi selalu diperbarui. Selain itu, membatasi akses jaringan lokal dan mematikan layanan localhost saat tidak digunakan juga dapat membantu memperkecil attack surface.

    Intinya, keamanan lingkungan development tidak hanya bergantung pada editor atau sistem operasi, tetapi juga pada kualitas dan keamanan ekstensi yang terpasang.

    Source: https://thehackernews.com/2026/02/critical-flaws-found-in-four-vs-code.html