Microsoft hat zum 17. Oktober 2019 eine Sicherheitswarnung bezüglich der Entwicklungsumgebung Visual Studio Code herausgegeben. Es steht ein Update für die betreffende Software zum Schließen einer Sicherheitslücke zur Verfügung.
Anzeige
In Visual Studio Code besteht eine Elevation of Privilege-Schwachstelle CVE-2019-1414 die von Microsoft folgendermaßen beschrieben wird:
Es besteht eine Elevation of Privilege-Schwachstelle in Visual Studio Code, wenn Entwickler einen Debug-Listener für Benutzer eines lokalen Computers mitlaufen lassen.
Ein lokaler Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code injizieren, der im Kontext des aktuellen Benutzers ausgeführt wird. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
Sonderlich dramatisch ist die Schwachstelle nicht. Denn um diese Schwachstelle auszunutzen, müsste ein lokaler Angreifer bestimmen, auf welchem Port Visual Studio Code für einen bestimmten Benutzer lauscht. Microsoft hat aber reagiert und eine Aktualisierung freigegeben. Das Update für Visual Studio Code behebt die Schwachstelle, indem es die Art und Weise ändert, wie Visual Studio Code Debug-Ports aktiviert. Der Download-Link findet sich auf der Microsoft-CVE-Seite.
Anzeige
