Microsoft раскрыла две уязвимости в безопасности, затрагивающие GitHub Copilot и Visual Studio Code, которые могут позволить злоумышленникам обходить защитные механизмы. Обе уязвимости были зафиксированы 11 ноября 2025 года и оценены как «Important», что представляет непосредственный риск для разработчиков, использующих эти инструменты.
Первая уязвимость, CVE-2025-62449, затрагивает расширение Copilot Chat для Microsoft Visual Studio Code и связана с неправильной обработкой переходов по путям (CWE-22). Локальный атакующий с ограниченными правами при наличии взаимодействия пользователя может эксплуатировать эту проблему и вызвать серьёзные последствия. Уязвимость особенно угрожает доступу к файлам на машине разработчика. Оценка CVSS указана как 6.8 / 5.9.
Вторая уязвимость, CVE-2025-62453, затрагивает GitHub Copilot и Visual Studio Code и связана с неправильной валидацией вывода генеративного ИИ и общими сбоями защитных механизмов. Эта ошибка показывает, как недостаточная фильтрация вывода ИИ может позволить обходить проверки безопасности и допускать вредоносные или уязвимые предложения кода. Оценка CVSS для этой уязвимости указана как 5.0 / 4.4.
Обе уязвимости открывают несколько векторов атаки: локальные злоумышленники могут манипулировать доступом к файлам, извлекать конфиденциальную информацию или внедрять вредоносный код в проекты разработки. Ошибка перехода по пути особенно угрожает репозиториям исходного кода, конфигурационным файлам и секретам, хранящимся на машинах разработчиков. Проблемы в валидации генеративного ИИ повышают риск того, что уязвимые или вредоносные предложения попадут в рабочие среды.
Организациям, использующим GitHub Copilot или Visual Studio Code, рекомендуется как можно скорее установить доступные исправления. Microsoft выпустила обновления для устранения обеих уязвимостей, и своевременное обновление является критическим для поддержания безопасности. Регулярные обновления, тщательный код-ревью и многоуровневая защита остаются важными мерами в современных средах разработки.
Комментариев