に参加して、VS Code の AI 支援開発について学びましょう。

Event-Streamパッケージのセキュリティアップデート

更新日: 2019年6月23日

私たちは、拡張機能の作者と協力して、彼らの拡張機能と依存関係を更新してきました。

以下は、現在ブロックされている拡張機能のリストです。

  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joaquin6.package-watch
  • KazuoCode.gthubsum
  • MaxGotovkin.tslens

2018年11月26日 Kai Maetzel、@kaimaetzel

人気のあるevent-stream NPMパッケージに悪意のある依存関係が含まれているという情報をすでにお聞きになっているかもしれません。詳細は以下のGitHubイシューで確認できます。https://github.com/dominictarr/event-stream/issues/116。この脆弱性は約2か月前から存在していましたが、最近になって発見されました。

要するに: Visual Studio Codeは、業界全体に影響を与えているNPMのevent-streamパッケージのセキュリティ問題の影響を受けていません。そして、私たちはこのパッケージの影響を受ける拡張機能をVS Code Marketplaceから一時的に削除することで、積極的にユーザーベースを保護しました。

私たちはすぐに、自身が影響を受けているかどうか、どのように影響を受けているかを確認しました。まず、Visual Studio Codeをスキャンしました。Visual Studio Codeの製品インストール(Stable版とInsiders版の両方)は安全です。

次に、VS Code Marketplaceのすべての拡張機能をスキャンしました。いくつかの拡張機能が影響を受けていることを確認しました。私たちは、ユーザーとそれらの拡張機能の作者を保護するために、積極的な措置を講じ、それらの拡張機能を自動的にアンインストールすることを決定しました。ユーザーがそれらの拡張機能を削除するために何か actions を行う必要はありません。拡張機能はMarketplaceからも非公開になります。

スキャン時、以下の拡張機能が悪意のあるコードを含んでいました。

  • aoisupersix.bve5-language-support
  • apollographql.vscode-apollo
  • ardenivanov.svelte-intellisense
  • ballerina.ballerina
  • BattleBas.kivy-vscode
  • cesium.gltf-vscode
  • christianvoigt.argdown-vscode
  • codemooseus.vscode-devtools-for-chrome
  • curlybracket.vlocode
  • ivory-lab.jenkinsfile-support
  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joe-re.sql-language-server
  • jomiller.rtags-client
  • jorithvdheuvel.webdav
  • KazuoCode.gthubsum
  • kddejong.vscode-cfn-lint
  • Koihik.vscode-lua-format
  • myxvisual.vscode-ts-uml
  • OptimaSystems.vscode-apl-language-client
  • Paul-Ehigie-Paul.nativescript-extend
  • qoretechnologies.qorus-vscode
  • quantum.quantum-devkit-vscode
  • ritwickdey.LiveServer
  • rkoubou.ksp
  • roboceo.robojsx-plugin
  • salbert.comment-ts
  • SiteGo.spgo
  • terminus.tangram-vscode-plugin
  • tintrinh.php-refactor
  • tomoki1207.pdf
  • vlopes11.advpls-client
  • webhint.vscode-webhint
  • wix.stylable-intelligence
  • Yseop.vscode-yseopml
  • zfzackfrost.commentbars
  • Zowe.vscode-extension-for-zowe

現在、これらの拡張機能の作者に通知している最中です。作者が拡張機能を更新し、その通知を受け取った後、私たちは更新を検証します。その後、Marketplaceから拡張機能を再インストールできるようになります。

拡張機能の作者への注意事項: yeomanコードジェネレーターで拡張機能を生成した場合、開発依存関係の一部として悪意のあるコードがインストールされた可能性があります。node_modulesフォルダーを削除し、npm cache clean --forceでnpmキャッシュをクリアし、npm installを再実行してください。

拡張機能の作者は、vscodeモジュールを1.1.22に更新する必要があります。

引き続き情報をお知らせします。

Kai Maetzel (Microsoft)

© . This site is unofficial and not affiliated with Microsoft.