Az IDE-k védtelenek: 94 javítatlan Chromium-sebezhetőség

Elavult alapokon nyugvó fejlesztői eszközök

A Cursor és a Windsurf fejlesztői eszközök elavult, nyílt forráskódú Chromium böngészőt és Google V8 motort tartalmaznak. Mindkét IDE a Visual Studio Code korábbi verzióira épül, amelyek régi Electron keretrendszert használnak. Az Electron az aktuális Chromium-verziót és a hozzá tartozó V8 motort egy csomagban szállítja, így ha nem frissítik rendszeresen, a régi hibák sérülékennyé teszik az alkalmazást.

Javítatlan hibák kapuja a támadóknak

A kutatók azt is bemutatták, hogy a CVE-2025-7656 néven ismert Maglev JIT túlcsordulásos sebezhetőség hogyan használható ki. Egy deeplink segítségével elindítják a Cursor alkalmazást, amely egy exploitot tartalmazó weboldalt nyit meg. Ez a támadás JavaScript-kódot futtat, ami a rendszer összeomlását, szolgáltatásmegtagadást (DoS) idézhet elő, de valós környezetben kódfuttatást is lehetővé tehet.

Egyszerű támadási lehetőségek fejlesztők ellen

A támadók különböző módszerekkel is kihasználhatják a sérülékenységeket: fertőzött böngészőbővítményeket kínálnak, dokumentációban vagy oktatóanyagokban rejtik el az exploit kódot, adathalász támadásokkal vagy rosszindulatú README fájlokkal operálnak.

Késleltetett reagálás és veszélyes hozzáállás

A Cursor a bejelentett sebezhetőséget kívülállónak minősítette, a Windsurf pedig nem is válaszolt. Ráadásul a kutatók rámutattak, hogy 2025. március 21. óta legalább 94 nyilvános CVE jelent meg, miközben csak egyet teszteltek le: ez is bőven elegendő a masszív támadási felülethez. Ezzel szemben a frissített Visual Studio Code rendszeresen javítja ezeket a hibákat, és nem érintett. Az elavult Electron-alapú IDE-k viszont komoly támadási célponttá váltak.

2025, adrienne, www.bleepingcomputer.com alapján