Ana Sayfa Arama Galeri Video Yazarlar
Üyelik
Üye Girişi
Yayın/Gazete
Yayınlar
Kategoriler
Servisler
Nöbetçi Eczaneler Sayfası Nöbetçi Eczaneler Hava Durumu Namaz Vakitleri Gazeteler Puan Durumu
Ana SayfaGünün HaberleriHer Cursor ve Windsurf Kullanıcısını Tehdit Eden Sıfır Gün Açığı!

Her Cursor ve Windsurf Kullanıcısını Tehdit Eden Sıfır Gün Açığı!

Öğretmen Ajans
Günün Haberleri
Koi Security’den Kritik Güvenlik Açığı: VSXPloit ile 10 Milyon Cihaz

Koi Security’den Kritik Güvenlik Açığı: VSXPloit ile 10 Milyon Cihaz Tehlikede

AI Kodlama Araçlarındaki Tehlike: VSXPloit

Koi Security’den bir güvenlik araştırmacısı, günümüzün AI kodlama araçlarının altyapısında derinlerde gömülü kritik bir sıfır gün açığı keşfetti. Bu açık, basit bir saldırganın tek bir hamleyle 10 milyondan fazla makineyi ele geçirmesine olanak tanıyordu. Cursor ve Windsurf gibi AI kodlama asistanları, dünya genelindeki geliştiricilere yüksek verimlilik vaat ediyor. Ancak bu yeni geliştirici araçları dalgasıyla birlikte gelen tehlikeli bir kör nokta var.

Açığın Tanımı: VSXPloit

VSXPloit olarak adlandırılan bu açık, geliştirici tedarik zincirinde kritik bir bileşen olan OpenVSX’te bulunan tek bir gözden kaçan hata sayesinde, VS Code fork’larını kullanan herhangi bir makinede sessiz ve tam sistem ele geçirmeye olanak tanıyordu. Bir hata, toplam kontrol.

Günümüzün AI destekli editörleri, temel işlevselliklerini sağlamak için uzantılara büyük ölçüde bağımlıdır. Söz dizimi vurgulama, linting ve hata ayıklama gibi özellikler, editörün içine kodlanmamış; uzantılar tarafından sağlanmaktadır. Bu uzantıların her biri, geliştiricinin makinesinde tam yetkiyle çalışır. Bu da demektir ki, tek bir tehlikeli uzantı, onu yükleyen herkesin makinesinin tamamen ele geçirilmesine yol açabilir.

Açığın Keşfi: Oren Yomtov’un Araştırması

Güvenlik araştırmacısı Oren Yomtov, Koi Security’de çalışırken, OpenVSX’in arka planındaki yapı sürecini incelerken kritik bir açığı keşfetti. Bu açık, sadece bir uzantının kontrolünü ele geçirmekle kalmayıp, tedarik zincirinde büyük bir felakete yol açarak, tüm pazarın kontrolünü ele geçirmeye olanak tanıyordu.

İlgili Haber  Bade İşçil, Adalar Yolculuğu Öncesi Otobüs Durağında Görüntülendi!

Yomtov, bu açığı keşfettiğinde, ilk başta bunun bir hata olduğunu düşündü. Ancak laboratuvarında simülasyonu yeniden oluşturduğunda, saldırının kusursuz bir şekilde çalıştığını gördü. Görünüşte imkansız olan bu durum, aniden çok gerçek bir güvenlik felaketi haline geldi.

Açığın Çalışma Prensibi: Otomatik Yayın Süreci

Açığın nasıl çalıştığını anlamak için, uzantıların OpenVSX’e nasıl girdiğini bilmek gerekiyor. Bir uzantıyı OpenVSX’e yayınlamak için iki seçenek var:

  1. Uzantıyı kendiniz yüklemek.
  2. Uzantının otomatik olarak yayınlanması için bir pull request oluşturarak uzantıyı extensions.json dosyasına eklemek.

Yomtov, "Gece yapısı burada sorun yaratıyor," diyor. OpenVSX, her gece topluluk tarafından gönderilen uzantıların en son sürümlerini alıp, derleyip, pazara yayınlayan otomatik bir süreç çalıştırıyor. Bu, geliştiricilerin işini kolaylaştırmak için tasarlanmış, ancak bu durumda kritik bir açığı beraberinde getirmiş.

Potansiyel Etkiler: Tedarik Zinciri Kâbusu

@open-vsx hesabının token’ına erişim sağlayan bir saldırgan, dünya çapında bir tedarik zinciri kâbusu yaratabilirdi. Bu token, yeni uzantılar yayınlamak, mevcut olanları güncellemek ve ekosistemdeki herhangi bir yayıncıyı taklit etmek için kullanılan süper yönetici kimliğidir.

Bir saldırganın kötü niyetli bir güncelleme ile, örneğin Python eklentisini hedef alarak, sessizce bir anahtar kaydedici yüklemesi, tarayıcı çerezlerini çalması veya kaynak kodunu ele geçirmesi mümkündü. Bu, yalnızca bir kötü niyetli aktörün sistemden sızması değil, tüm ekosistemi etkileyen bir tedarik zinciri ihlali olacaktı.

Ne Yapmalısınız?

Yomtov, kullanıcıların ve organizasyonların bu olaydan alması gereken dersin net olduğunu belirtiyor: "Her uzantının güvenilmez olduğunu varsayın." Uzantılar, güçlü yazılım bileşenleridir ve genellikle bireyler tarafından yazılmaktadır.

Kendinizi korumak için, Yomtov, uzantıları saldırı yüzeyinizin bir parçası olarak görmenizi ve diğer bağımlılıklar için uyguladığınız disiplini uygulamanızı öneriyor. Bu, aşağıdaki adımları içermelidir:

  1. Gerçek bir envanter tutmak: Hangi makinelerde, kimler tarafından yüklendiğini takip edin.
  2. Risk değerlendirmesi yapmak: Uzantıyı kimin geliştirdiğine, nasıl sürdüğüne ve ne yaptığını değerlendirin.
  3. Açık politikalar uygulamak: Ne tür uzantıların kabul edileceğine dair net politikalar oluşturun.
  4. Sürekli izleme: Uzantılar sessizce güncellenebilir ve yeni riskler getirebilir.
İlgili Haber  Jessica Simpson, 45. Doğum Gününü Işıltılı Elbiseyle Kutladı!

Koi’nin araştırma ekibi, yalnızca OpenVSX’te değil, Microsoft’un pazarında ve diğer uzantı pazarlarında da hem savunmasız hem de aktif olarak kötü niyetli uzantılar bulmaya devam ediyor.

Sonuç

Koi Security, açığı Eclipse Foundation’a sorumlu bir şekilde bildirdi ve birlikte çalışarak sorunun doğrulanması, sağlam bir düzeltme tasarımı ve yamanın uygulanmasını sağladı. Bu işbirliği sayesinde, açık kapatıldı ve pazar, her gün ona güvenen milyonlarca geliştirici için tekrar güvenli hale geldi. Ancak bu olay, güvenilir altyapının bile sürekli denetim gerektirdiğini hatırlatıyor.

Koi Security, uzantılarınızı keşfetmenize, değerlendirmenize ve yönetmenize yardımcı olmak için buradadır. Daha fazla bilgi için Koi Security ile iletişime geçebilirsiniz.

Okuma: 3

YORUMLAR

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir


Erdoğan ve Al Nahyan’dan Terörsüz Türkiye Vurgusu Erdoğan ve Al
Sıradaki Haber Başkan Erdoğan, BAE Devlet Başkanı Al Nahyan ile Önemli Görüşme Gerçekleştirdi

Sponsor Bağlantılar:

Crypto News - - Bitcoin News