Latest:
vulnerabilidades VS Code em extensões populares reveladas pela OX Security
NoticiasTecnologia

Falhas críticas em extensões do VS Code expõem milhões de usuários

Diogo Fernando , 5 min Leitura
PUBLICIDADE

Pesquisadores de cibersegurança identificaram graves vulnerabilidades em quatro extensões amplamente utilizadas do Visual Studio Code (VS Code), ferramenta de desenvolvimento da Microsoft. Se exploradas, essas falhas podem permitir que invasores acessem arquivos locais e executem código malicioso remotamente em ambientes de desenvolvimento.

As extensões afetadas são Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview, com mais de 125 milhões de instalações combinadas.

As vulnerabilidades e o impacto potencial

O relatório divulgado pela OX Security foi elaborado pelos pesquisadores Moshe Siman Tov Bustan e Nir Zadok. Eles destacam que as falhas nas extensões populares podem servir como ponto de acesso para ataques direcionados a milhares de desenvolvedores e empresas. Em suas palavras: “um único plugin vulnerável pode comprometer toda uma organização”.

PUBLICIDADE

As vulnerabilidades identificadas receberam codificações CVE e pontuações elevadas no sistema CVSS, que mensura sua gravidade. Confira abaixo o resumo técnico:

  • CVE-2025-65717 — Live Server (CVSS 9.1): permite o roubo de arquivos locais quando o desenvolvedor acessa um site malicioso. O JavaScript da página coleta arquivos hospedados no servidor local (localhost:5500) e os envia para domínios controlados pelo atacante. Permanece sem correção.
  • CVE-2025-65716 — Markdown Preview Enhanced (CVSS 8.8): possibilita a execução de JavaScript arbitrário via upload de arquivo Markdown (*.md*) manipulado, facilitando o roubo de dados locais. Permanece vulnerável.
  • CVE-2025-65715 — Code Runner (CVSS 7.8): invasores podem executar código arbitrário ao convencer o usuário a modificar o arquivo settings.json por meio de phishing. Sem atualização.
  • Live Preview — Microsoft: vulnerabilidade de execução de scripts locais via navegação a sites maliciosos. Corrigida silenciosamente na versão 0.4.16 lançada em setembro de 2025.

Essas falhas demonstram o potencial de ataques RCE (Remote Code Execution) e de exfiltração de dados, explorando funcionalidades legítimas das extensões e a confiança dos desenvolvedores em seus ambientes de trabalho.

Riscos para empresas e desenvolvedores

De acordo com os especialistas da OX Security, manter extensões vulneráveis no ambiente de desenvolvimento representa um risco direto à segurança corporativa. Uma única ação — como abrir um repositório comprometido ou clicar em um link — pode permitir que invasores obtenham acesso completo ao sistema.

“Extensões mal escritas ou excessivamente permissivas podem ser exploradas para roubo de informações ou controle remoto da máquina. Basta uma instalação insegura para colocar toda a empresa em risco.”

OX Security

Como se proteger dessas ameaças

  • Evite instalar extensões de fontes não verificadas;
  • Desative ou desinstale extensões não essenciais;
  • Mantenha todas as extensões e o VS Code atualizados;
  • Restringa conexões locais por meio de firewall;
  • Desative servidores locais como o localhost quando não estiverem em uso.

Essas práticas minimizam a superfície de ataque e reduzem o risco de exploração de vulnerabilidades ainda não corrigidas.

O papel da Microsoft e da comunidade

Embora a Microsoft tenha corrigido discretamente a vulnerabilidade na Live Preview, as outras três falhas ainda aguardam atualizações oficiais. A comunidade de código aberto e desenvolvedores independentes é, portanto, essencial na identificação e mitigação dessas falhas.

Especialistas reforçam a importância de auditar extensões regularmente e de revisar permissões de acesso, especialmente quando elas interagem com o sistema de arquivos local — um ponto sensível para ataques de exfiltração.

Vídeo explicativo sobre vulnerabilidades em extensões VS Code

Vídeo explicativo sobre as falhas críticas nas extensões do VS Code

Perguntas frequentes sobre Falhas críticas em extensões do VS Code

  1. Quais extensões do VS Code foram afetadas?

    As vulnerabilidades foram encontradas em Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview, totalizando mais de 125 milhões de instalações.

  2. Essas falhas já foram corrigidas?

    Apenas a vulnerabilidade da Live Preview foi corrigida na versão 0.4.16, lançada em setembro de 2025. As demais permanecem sem patches oficiais.

  3. Como proteger meu ambiente de desenvolvimento?

    Evite instalações de extensões desconhecidas, mantenha o VS Code e plugins atualizados, utilize firewall para restringir tráfego local e desative serviços em localhost quando não estiverem em uso.

Considerações finais

As revelações da OX Security expõem um ponto cego preocupante no ecossistema de desenvolvimento: a dependência de extensões não auditadas. Com mais de 125 milhões de downloads, as falhas encontradas no VS Code mostram o quão vulnerável podem ser os ambientes de programação modernos quando a segurança não é priorizada. Manter uma postura proativa é essencial para evitar que a produtividade se torne uma brecha de ataque.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

Lost série sendo removida do catálogo da Netflix globalmente em 2025. Imagem promocional de Lost.

Lost vai sair da Netflix em agosto de 2025: datas e motivos

Gabriela Santos
Chainsaw Man Reze Arc pôster oficial com Denji e Reze prontos para batalha

Chainsaw Man Reze Arc: data e o que esperar

Gabriela Santos
Baterias de silício-carbono para smartphones prometem aumentar a autonomia, capacidade superior a 7.000mAh e nova abordagem de design pelas líderes do setor móvel.

Baterias de Silício-Carbono prometem superar 7.000mAh em smartphones

Diogo Fernando