Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Visual Studio Code」に権限昇格の脆弱性 - 修正を実施

無料で利用できるオープンソースのコードエディタ「Visual Studio Code」に権限の昇格が可能となる脆弱性が含まれていることがわかった。

拡張ホストがデフォルトでデバッグモードにより起動され、リモートデバッガーがローカルに公開されて権限の昇格が生じるおそれがある脆弱性「CVE-2019-1414」が明らかになったもの。

ポートはランダムで設定され、悪用するにはリッスンしているポートをローカルの攻撃者が特定する必要がある。深刻度は4段階中2番目にあたる「重要」とレーティングした。

10月11日に公開された「同1.39.1」でデバッグポートを明示的に有効化するよう変更することで対処。GitHubでは、さらにバグの修正など行った「同1.39.2」が現在公開されている。

(Security NEXT - 2019/10/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Firefox 88」が登場、13件の脆弱性を修正
トレンド製パスワード管理製品に脆弱性 - アップデートが公開
「WordPress」に2件の脆弱性 - 「同4.7」以降にアップデートを提供
「Chrome 90」が公開、37件のセキュリティ修正 - 前回更新からわずか1日で
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
SAP、4月の月例アップデートを公開 - CVSS基本値「9.9」のRCE脆弱性も
スマホアプリ「ぐるなび」に脆弱性 - 任意サイトへの誘導に悪用されるおそれ
「Chrome 89.0.4389.128」で脆弱性2件を修正 - いずれもエクスプロイトの報告あり
「Adobe Bridge」や「Photoshop」など複数Adobe製品に深刻な脆弱性
MS、月例セキュリティ更新で脆弱性108件に対応 - 一部でゼロデイ攻撃も