VS Code拡張機能に重大な脆弱性 累計ダウンロード数1億2000万件超
セキュリティ企業OX Securityは、Visual Studio Code(VS Code)で動作する拡張機能4件に重大な脆弱性を発見したと発表しました。対象となるのは「Live Server」「Code Runner」「Markdown Preview Enhanced」「Microsoft Live Preview」の4つで、累計ダウンロード数は1億2000万件を超えています。これらの脆弱性により、遠隔ファイル流出やリモートコード実行(RCE)などの攻撃が可能です。特に、Live ServerにおけるCVE-2025-65717はCVSSスコア9.1とされ、全バージョンに影響を与えています。OX Securityは開発者に通知を行ったものの、現時点で回答がないとのことです。対策として、信頼できないHTMLの閲覧回避やローカルサーバ運用の見直し、不審な設定の適用回避などを推奨しています。また、拡張公開前の審査制度導入や自動脆弱性検査の実施など、制度面の整備も提案しています。
背景
近年、開発環境のセキュリティが重要視されています。特に、IDE拡張機能は開発端末に直接アクセスできるため、悪用されれば組織全体への侵害につながる可能性があります。今回のケースでは、人気なVS Code拡張機能に重大な脆弱性が発見されたことで、開発者や企業の意識を高めるきっかけとなっています。
重要用語解説
CVE-2025-65715: Code Runnerにおけるリモートコード実行(RCE)脆弱性。CVSSスコア7.8で、悪意のあるユーザーがシステムにアクセスし、コマンドを実行できる可能性がある。
CVE-2025-65716: Markdown Preview EnhancedにおけるJavaScript実行の欠陥。CVSSスコア8.8で、ローカルポートのスキャンや情報流出に発展する恐れがある。
Live Server: VS Code用の拡張機能で、開発中のWebサイトをローカルサーバ上で動作させることができる。
Code Runner: VS Code用の拡張機能で、様々なプログラミング言語のコードを実行できる。
Markdown Preview Enhanced: VS Code用の拡張機能で、Markdownファイルをプレビューする際により多くの機能を提供する。
Microsoft Live Preview: VS Code用の拡張機能で、HTMLやCSSファイルなどをリアルタイムにプレビューできる。
CVSS: Common Vulnerability Scoring System(共通脆弱性評価システム)。セキュリティの深刻さを数値で表す指標。
今後の影響
今回の脆弱性の発見は、開発環境のセキュリティ対策の重要性を改めて認識させるものです。開発者は、信頼できるソースから拡張機能をダウンロードし、定期的に更新を行う必要があります。また、企業は、従業員に対してセキュリティ意識を高めるための教育を実施するなど、組織全体のセキュリティ対策を強化する必要があります。