Тренды веб-дизайна: каким должен быть современный сайт в 2026 году
Узнайте, какие тренды веб-дизайна действительно работают: от минимализма до интерактивных решений и персонализации.
Уязвимости в расширениях VS-Code, огромный провал в безопасности
Дата публикации: 25/02/2026
Автор: Владимир Яковлев
Просмотры:
Метки: безопасность, ошибки, разработка, уязвимости,
Исследовательская команда компании OX Security обнаружила серьёзные уязвимости в четырёх популярных расширениях для IDE, которые устанавливались более 120 миллионов раз. Эти недостатки наглядно демонстрируют, что расширения — «слабое звено» в цепочке безопасности программного обеспечения.
Почему это важно
Интегрированные среды разработки (IDE) — такие как VS Code и его форки — используются программистами для создания и редактирования кода, управления конфигурациями, ключами доступа, переменными окружения и другими чувствительными данными. Расширения работают с широчайшими системными привилегиями, что делает их потенциальной «дыру» в защите.
Команда OX Security подчеркнула, что одной уязвимости в расширении достаточно, чтобы злоумышленник смог выполнить код на устройстве разработчика, получить доступ к данным или использовать его машину для дальнейшего распространения по сети организации.
Обнаруженные уязвимости
| Уязвимость | Расширение | Серьёзность | Количество загрузок | Что может сделать злоумышленник |
| CVE-2025-65717 | Live Server | CRITICAL (9.1) | ~72 M | Экспорт файлов через сервер |
| CVE-2025-65715 | Code Runner | HIGH (7.8) | ~37 M | Удалённое выполнение кода |
| CVE-2025-65716 | Markdown Preview Enhanced | HIGH (8.8) | ~8,5 M | Запуск JavaScript / сканирование портов |
| — | Microsoft Live Preview | исправлено | ~11 M | XSS-атака и вывод файлов IDE |
👉 Четыре расширения были проверены на уязвимости. Три из них получили официальные идентификаторы CVE и имеют высокие или критические оценки CVSS, а одно — Live Preview от Microsoft — хотя и содержало опасную ошибку, уже исправлено в версии 0.4.16 без присвоения CVE.
Основные риски
Проблемы в расширениях могут привести к:
- Эксплуатации рабочих станций разработчиков, которые имеют доступ к самым ценным данным компании.
- Удалённому выполнению произвольного кода.
- Утечке конфиденциальной информации (ключи, конфигурации, файлы проекта).
- Движению злоумышленника по сети после получения доступа к одной машине.
Ответ разработчиков экосистемы
OX Security официально сообщила о найденных ошибках в июле–августе 2025 года разработчикам расширений через несколько каналов: email, GitHub и социальные сети. На момент публикации большинство разработчиков не отреагировали на уведомления, что оставило огромную аудиторию программистов уязвимой месяцами после обнаружения.
Как защитить своё рабочее окружение
Чтобы снизить риски эксплуатации этих и подобных уязвимостей, эксперты рекомендуют:
🔹 Удалить или отключить ненужные расширения — это уменьшит поверхность атаки.
🔹 Не открывать непроверенные HTML-файлы, особенно если запущен локальный веб-сервер.
🔹 Не использовать непроверенные конфигурации (например, вставки в settings.json из непонятных источников).
🔹 Использовать локальный файервол для ограничения доступа к службам разработки.
🔹 Тщательно проверять расширения перед установкой и следить за их обновлениями.
Вывод
Расширения IDE — один из наименее контролируемых элементов процесса разработки, и, как показывает исследование OX Security, даже официальные и широко используемые модули могут становиться источниками серьёзных угроз. Это подчёркивает необходимость строгого подхода к выбору и проверке инструментов, с которыми работают команды разработки.
Поделиться:
Читайте так же
Как создать профессиональный сайт: экспертное руководство для бизнеса и начинающих
Грамотно выстроенный процесс разработки позволяет создать ресурс, который привлекает клиентов, повышает доверие и доход.
Разработка сайта на WordPress: почему это лучшее решение для бизнеса
Разберёмся, почему разработка сайта на WordPress выгоднее многих других CMS и чем он лучше таких систем, как Joomla и Битрикс.
