Escaping Misconfigured VSCode Extensions (2023)
6 days ago
- #VSCode
- #Webview
- #Security
- 披露VSCode扩展及VSCode本体漏洞,包括赏金7,500美元的CVE-2022-41042漏洞
- 探究VSCode Webview及其安全模型,涵盖沙箱机制与通信协议
- 发现三类漏洞:SARIF查看器的HTML/JavaScript注入漏洞、Live Preview功能的HTML/JavaScript注入漏洞,以及Live Preview本地HTTP服务器的路径穿越漏洞
- 利用技术包括:通过DNS预取实现文件渗出、利用srcdoc iframe执行JavaScript代码、通过DNS重绑定发起远程攻击
- 提出VSCode Webview加固建议,重点包括CSP限制策略、localResourceRoots配置规范及安全的postMessage处理器实现