Sicherheitsupdate für Visual Studio Code (17.10.2019)

Microsoft hat zum 17. Oktober 2019 eine Sicherheitswarnung bezüglich der Entwicklungsumgebung Visual Studio Code herausgegeben. Es steht ein Update für die betreffende Software zum Schließen einer Sicherheitslücke zur Verfügung.


Anzeige

In Visual Studio Code besteht eine Elevation of Privilege-Schwachstelle CVE-2019-1414 die von Microsoft folgendermaßen beschrieben wird:

Es besteht eine Elevation of Privilege-Schwachstelle in Visual Studio Code, wenn Entwickler einen Debug-Listener für Benutzer eines lokalen Computers mitlaufen lassen.

Ein lokaler Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code injizieren, der im Kontext des aktuellen Benutzers ausgeführt wird. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Sonderlich dramatisch ist die Schwachstelle nicht. Denn um diese Schwachstelle auszunutzen, müsste ein lokaler Angreifer bestimmen, auf welchem Port Visual Studio Code für einen bestimmten Benutzer lauscht. Microsoft hat aber reagiert und eine Aktualisierung freigegeben. Das Update für Visual Studio Code behebt die Schwachstelle, indem es die Art und Weise ändert, wie Visual Studio Code Debug-Ports aktiviert. Der Download-Link findet sich auf der Microsoft-CVE-Seite.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.