ist jetzt verfügbar! Lesen Sie über die neuen Funktionen und Fehlerbehebungen vom November.

Event-Stream Paket-Sicherheitsupdate

Aktualisiert: 23. Juni 2019

Wir haben mit den Autoren von Erweiterungen zusammengearbeitet, um ihre Erweiterungen und Abhängigkeiten zu aktualisieren.

Unten ist die aktuelle Liste der blockierten Erweiterungen

  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joaquin6.package-watch
  • KazuoCode.gthubsum
  • MaxGotovkin.tslens

26. November 2018 Kai Maetzel, @kaimaetzel

Sie haben vielleicht schon gehört, dass das beliebte NPM-Paket `event-stream` eine bösartige Abhängigkeit enthält. Die Details finden Sie in folgendem GitHub-Issue: https://github.com/dominictarr/event-stream/issues/116. Diese Schwachstelle existiert seit etwa zwei Monaten, wurde aber erst kürzlich entdeckt.

TL;DR: Visual Studio Code ist nicht von der branchenweiten NPM-Paket-Sicherheitslücke `event-stream` betroffen und wir haben unsere Benutzer proaktiv geschützt, indem wir betroffene Erweiterungen vorübergehend aus dem VS Code Marketplace entfernt haben.

Wir haben sofort geprüft, ob und wie wir betroffen sind. Zuerst haben wir Visual Studio Code gescannt. Sowohl die Produktinstallationen von Visual Studio Code (Stable als auch Insiders) sind sicher.

Zweitens haben wir alle Erweiterungen im VS Code Marketplace gescannt. Wir haben mehrere Erweiterungen als betroffen identifiziert. Wir haben beschlossen, aggressive Maßnahmen zu ergreifen, um unsere Benutzer sowie die Autoren dieser Erweiterungen zu schützen und diese Erweiterungen automatisch zu deinstallieren. Die Benutzer müssen nichts tun, um diese Erweiterungen zu entfernen. Die Erweiterungen werden auch aus dem Marketplace entfernt.

Zum Zeitpunkt des Scans enthielten die folgenden Erweiterungen den bösartigen Code

  • aoisupersix.bve5-language-support
  • apollographql.vscode-apollo
  • ardenivanov.svelte-intellisense
  • ballerina.ballerina
  • BattleBas.kivy-vscode
  • cesium.gltf-vscode
  • christianvoigt.argdown-vscode
  • codemooseus.vscode-devtools-for-chrome
  • curlybracket.vlocode
  • ivory-lab.jenkinsfile-support
  • JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
  • joe-re.sql-language-server
  • jomiller.rtags-client
  • jorithvdheuvel.webdav
  • KazuoCode.gthubsum
  • kddejong.vscode-cfn-lint
  • Koihik.vscode-lua-format
  • myxvisual.vscode-ts-uml
  • OptimaSystems.vscode-apl-language-client
  • Paul-Ehigie-Paul.nativescript-extend
  • qoretechnologies.qorus-vscode
  • quantum.quantum-devkit-vscode
  • ritwickdey.LiveServer
  • rkoubou.ksp
  • roboceo.robojsx-plugin
  • salbert.comment-ts
  • SiteGo.spgo
  • terminus.tangram-vscode-plugin
  • tintrinh.php-refactor
  • tomoki1207.pdf
  • vlopes11.advpls-client
  • webhint.vscode-webhint
  • wix.stylable-intelligence
  • Yseop.vscode-yseopml
  • zfzackfrost.commentbars
  • Zowe.vscode-extension-for-zowe

Wir sind dabei, die Autoren dieser Erweiterungen zu benachrichtigen. Sobald die Autoren ihre Erweiterungen aktualisiert haben und wir ihre Benachrichtigung erhalten haben, werden wir das Update überprüfen. Sie können die Erweiterung dann aus dem Marketplace neu installieren.

Hinweis für Erweiterungsautoren: Wenn Sie eine Erweiterung mit dem yeoman Code-Generator erstellt haben, haben Sie möglicherweise den bösartigen Code als Teil der Dev-Abhängigkeiten installiert. Löschen Sie Ihren node_modules-Ordner, bereinigen Sie Ihren npm-Cache mit npm cache clean --force und führen Sie npm install erneut aus.

Erweiterungsautoren müssen das vscode-Modul auf 1.1.22 aktualisieren.

Wir halten Sie auf dem Laufenden.

Kai Maetzel (Microsoft)

© . This site is unofficial and not affiliated with Microsoft.