🚀 VS Code で で入手しましょう!

Event-Stream パッケージのセキュリティ更新

更新: 2019年6月23日

拡張機能とその依存関係を更新するために、拡張機能の作成者と協力してきました。

以下は、現在ブロックされている拡張機能のリストです。

  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joaquin6.package-watch
  • KazuoCode.gthubsum
  • MaxGotovkin.tslens

2018年11月26日 Kai Maetzel, @kaimaetzel

人気のある event-stream NPM パッケージに悪意のある依存関係が含まれていることを既にご存知かもしれません。詳細については、次の GitHub issue を参照してください: https://github.com/dominictarr/event-stream/issues/116。この脆弱性は約2か月前から存在していましたが、ごく最近発見されました。

要約 (TL;DR): Visual Studio Code は、業界全体に影響を与えている NPM event-stream パッケージのセキュリティ問題の影響を受けていません。また、このパッケージの影響を受けている拡張機能を VS Code Marketplace から一時的に削除することで、ユーザーベースをプロアクティブに保護しました。

影響を受けているかどうか、またどのように影響を受けているかを直ちに確認しました。まず、Visual Studio Code をスキャンしました。Visual Studio Code の製品インストール (Stable および Insiders) はどちらも安全です。

次に、VS Code Marketplace 内のすべての拡張機能をスキャンしました。いくつかの拡張機能が影響を受けていることを特定しました。ユーザーとそれらの拡張機能の作成者を保護するために、積極的な措置を講じることを決定し、これらの拡張機能を自動的にアンインストールしました。ユーザーはこれらの拡張機能を削除するために何もする必要はありません。拡張機能は Marketplace からも非公開になります。

スキャン時、次の拡張機能に悪意のあるコードが含まれていました。

  • aoisupersix.bve5-language-support
  • apollographql.vscode-apollo
  • ardenivanov.svelte-intellisense
  • ballerina.ballerina
  • BattleBas.kivy-vscode
  • cesium.gltf-vscode
  • christianvoigt.argdown-vscode
  • codemooseus.vscode-devtools-for-chrome
  • curlybracket.vlocode
  • ivory-lab.jenkinsfile-support
  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joe-re.sql-language-server
  • jomiller.rtags-client
  • jorithvdheuvel.webdav
  • KazuoCode.gthubsum
  • kddejong.vscode-cfn-lint
  • Koihik.vscode-lua-format
  • myxvisual.vscode-ts-uml
  • OptimaSystems.vscode-apl-language-client
  • Paul-Ehigie-Paul.nativescript-extend
  • qoretechnologies.qorus-vscode
  • quantum.quantum-devkit-vscode
  • ritwickdey.LiveServer
  • rkoubou.ksp
  • roboceo.robojsx-plugin
  • salbert.comment-ts
  • SiteGo.spgo
  • terminus.tangram-vscode-plugin
  • tintrinh.php-refactor
  • tomoki1207.pdf
  • vlopes11.advpls-client
  • webhint.vscode-webhint
  • wix.stylable-intelligence
  • Yseop.vscode-yseopml
  • zfzackfrost.commentbars
  • Zowe.vscode-extension-for-zowe

これらの拡張機能の作成者に通知するプロセスを進めています。作成者が拡張機能を更新し、通知を受け取ったら、更新を確認します。その後、Marketplace から拡張機能を再インストールできるようになります。

拡張機能の作成者への注意: yeoman コードジェネレーターで拡張機能を生成した場合、開発依存関係の一部として悪意のあるコードをインストールした可能性があります。node_modules フォルダーを削除し、npm cache clean --force で npm キャッシュをクリーンアップし、npm install を再実行してください。

拡張機能の作成者は、vscode モジュールを 1.1.22 に更新する必要があります。

最新情報が入り次第、お知らせします。

Kai Maetzel (Microsoft)