Hơn 128 triệu lượt tải xuống các extensions hàng đầu trên VS Code đang đứng trước rủi ro bảo mật cực lớn. Việc phát hiện hàng loạt lỗ hổng nguy hiểm này cho thấy IDE đang trở thành mắt xích yếu nhất trong chuỗi cung ứng bảo mật của các doanh nghiệp hiện nay.

Các chuyên gia bảo mật từ đội ngũ Ox vừa công bố danh sách 4 tiện ích mở rộng cực kỳ phổ biến bị dính lỗ hổng nghiêm trọng, bao gồm: Live Server, Code Runner, Markdown Preview Enhanced và Microsoft Live Preview. Đáng chú ý, các lỗ hổng này không chỉ ảnh hưởng đến VS Code mà còn tác động trực tiếp đến các IDE AI đang “hot” như Cursor và Windsurf.

Các mã CVE và rủi ro chính:

• CVE-2025-65717 (Live Server – 9.1 điểm): Cho phép tin tặc trích xuất tệp tin từ xa một cách dễ dàng.
• CVE-2025-65715 (Code Runner – 7.8 điểm): Nguy cơ thực thi mã từ xa (RCE) trên máy của lập trình viên.
• CVE-2025-65716 (Markdown Preview Enhanced – 8.8 điểm): Thực thi mã JavaScript độc hại để quét cổng nội bộ và đánh cắp dữ liệu.
• Microsoft Live Preview: Lỗ hổng XSS cho phép đánh cắp toàn bộ tệp tin trong IDE (đã được vá từ bản v0.4.16).

Tác động kỹ thuật:

Các tiện ích này hoạt động như những “tiểu admin” trong IDE, có quyền hạn rộng để chạy code và truy cập hệ thống tệp. Kẻ tấn công có thể lợi dụng điều này để di chuyển ngang (lateral movement) vào mạng lưới nội bộ của công ty, đánh cắp API keys, cấu hình database và mã nguồn quý giá.

Khuyến nghị hành động

• Cập nhật ngay lập tức: Kiểm tra và nâng cấp toàn bộ IDE cũng như các extension lên phiên bản mới nhất.
• Gỡ bỏ phần mềm thừa: Xóa các extension không thực sự cần thiết để thu hẹp bề mặt tấn công.
• Thắt chặt cấu hình: Thiết lập tường lửa cục bộ, không mở các file HTML lạ khi đang chạy local server và tuyệt đối không dán các đoạn mã chưa xác thực vào file settings.json.