Visual Studio Code本地代码执行漏洞(CVE-2019-1414)

2019年11月11日00:03:16 发表评论
AD1 AD2 AD3 AD4

Visual Studio Code本地代码执行漏洞(CVE-2019-1414)

漏洞介绍

微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE排行榜中,VS Code已位列第六,并且仍处于上升趋势。

几个月前,国外安全研究员Tavis Ormandy发现并提交了VS Code中的一个本地命令执行漏洞(CVE-2019-1414),并于最近披露。1.39版本之前的VS Code受此漏洞影响。

漏洞修复

此漏洞在1.39.1版本中得到修复,默认情况下不再开启调试端口。

漏洞危害

​调试端口是暴露在本地的,所以不会有被远程攻击的危险,这一点降低了这个漏洞的危害程度。在渗透测试中,此漏洞可能会被用来进行bypass uac、提权等攻击行为。

安全建议

尽快升级到最新版本。

尽量避免在管理员权限下使用vscode。

发表评论

后发表评论