Microsoft опубликовала информацию о двух уязвимостях в GitHub Copilot и Visual Studio Code, которые позволяют злоумышленникам обходить важные механизмы защиты.
Обе уязвимости были зафиксированы 11 ноября 2025 года и получили степень серьёзности «Important», что представляет немедленную угрозу для разработчиков, использующих эти инструменты.
Первая уязвимость, CVE-2025-62449, затрагивает расширение Copilot Chat для Visual Studio Code и связана с некорректной обработкой переходов по путям (CWE-22).
Эксплуатация требует локального доступа и ограниченных привилегий пользователя, но может привести к серьёзным последствиям; оценка CVSS для этой проблемы указана как 6.8.
Вторая уязвимость, CVE-2025-62453, затрагивает как GitHub Copilot, так и Visual Studio Code и обусловлена неправильной валидацией вывода генеративного ИИ и более широкими сбоями в механизмах защиты.
Эта проблема демонстрирует, что результаты, генерируемые ИИ, могут обходить существующие проверки безопасности из‑за недостаточной фильтрации вывода; оценка CVSS приведена как 5.0.
Вместе эти уязвимости открывают несколько векторов атаки: локальные злоумышленники могут манипулировать доступом к файлам, извлекать конфиденциальные данные или внедрять вредоносный код в проекты разработки.
Уязвимость перехода по путям особенно опасна для репозиториев исходного кода, файлов конфигурации и секретов разработчиков, хранящихся на рабочих станциях.
Проблема с валидацией вывода генеративного ИИ показывает риск того, что предложения Copilot могут миновать проверки, направленные на предотвращение уязвимого кода или несанкционированных схем доступа.
В результате разработчики, полагавшиеся на подсказки ИИ, могут невольно внедрить скомпрометированный код в производственные окружения.
Организации, использующие GitHub Copilot или Visual Studio Code, должны как можно скорее установить выпущенные обновления и патчи, чтобы снизить риски.
Быстрая публикация сведений и выпуск исправлений указывают на приверженность безопасности, однако разработчикам по‑прежнему необходимо сохранять бдительность и применять комплексные меры защиты.
Регулярное обновление ПО, тщательное ревью кода и многослойные стратегии защиты остаются ключевыми практиками в современной среде разработки.
Комментариев