Mensagens anteriores

O Editor de código Visual Studio Code (VS Code), bastante usado por programadores para criarem as suas aplicações, possui uma falha que pode permitir a extensões maliciosas recolherem os tokens armazenados em sistemas Windows, Linux e macOS.

Estes tokens normalmente encontram-se armazenados no gestor de tokens do programa, e são usados para interligar o mesmo com terceiros, como é o caso do GitHub e Git. O roubo dos mesmos podem ter graves consequências, tendo em conta que pode permitir o acesso externo a essas contas, e obtenção de dados sensíveis.

A falha foi originalmente descoberta pelos investigadores da empresa Cycode, sendo que foi reportada para a Microsoft, juntamente com uma PoC a demonstrar o funcionamento. Apesar disso, a Microsoft não atualizou a falha, considerando que esta não será relevante.

A empresa terá optado por não resolver a mesma por considerar que as extensões não se enquadram na colocação em ambientes sandbox, como acontecer com o resto do editor.

A falha explora a API do programa, permitindo que se possa aceder aos tokens guardados no gestor de credenciais do mesmo. Isto acontece porque o Gestor de tokens não se encontra isolado do resto dos processos da aplicação, e pode ser acedido por fontes externas, como é o caso de extensões.

Com isto, qualquer extensão que esteja instalada no VS Code, e que tenha acesso ao mesmo, pode eventualmente aceder ao Secret Storage. Não havendo qualquer isolamento, os códigos podem ser acedidos por todas as extensões – o que inclui extensões maliciosas.

O problema desta falha não se encontra diretamente na falta do isolamento, mas sim na questão de que uma extensão maliciosamente criada pode aproveitar a mesma para roubo de dados.

A falha foi confirmada pelos investigadores faz mais de dois meses, e igualmente reportada para a Microsoft. No entanto, será improvável que a empresa venha a lançar uma correção para a mesma, tendo em conta que não a considera uma falha de segurança.