Event-Stream 套件安全性更新
更新日期:2019 年 6 月 23 日
我們一直與擴充功能作者合作,以更新他們的擴充功能和相依性。
以下是目前已封鎖的擴充功能列表
JacobeanResearchandDevelopmentLLC.vscode-scxml-previewjoaquin6.package-watchKazuoCode.gthubsumMaxGotovkin.tslens
2018 年 11 月 26 日 Kai Maetzel, @kaimaetzel
您可能已經聽說過,熱門的 event-stream NPM 套件包含惡意相依性。詳細資訊可以在以下的 GitHub issue 中找到:https://github.com/dominictarr/event-stream/issues/116。此漏洞已存在約兩個月,但最近才被發現。
摘要:Visual Studio Code 不受業界廣泛使用的 NPM
event-stream套件安全性問題影響,且我們已主動保護我們的使用者群,暫時從 VS Code Marketplace 移除受此套件影響的擴充功能。
我們立即檢查了我們是否以及如何受到影響。首先,我們掃描了 Visual Studio Code。Visual Studio Code 的產品安裝(穩定版和 Insiders 版)都是安全的。
其次,我們掃描了 VS Code Marketplace 中的所有擴充功能。我們識別出數個受影響的擴充功能。我們決定採取積極的行動來保護我們的使用者以及這些擴充功能的作者,並自動解除安裝這些擴充功能。使用者不需要採取任何行動來移除這些擴充功能。這些擴充功能也將從 Marketplace 中取消列出。
在掃描時,以下擴充功能包含惡意程式碼
aoisupersix.bve5-language-supportapollographql.vscode-apolloardenivanov.svelte-intellisenseballerina.ballerinaBattleBas.kivy-vscodecesium.gltf-vscodechristianvoigt.argdown-vscodecodemooseus.vscode-devtools-for-chromecurlybracket.vlocodeivory-lab.jenkinsfile-supportJacobeanResearchandDevelopmentLLC.vscode-scxml-previewjoe-re.sql-language-serverjomiller.rtags-clientjorithvdheuvel.webdavKazuoCode.gthubsumkddejong.vscode-cfn-lintKoihik.vscode-lua-formatmyxvisual.vscode-ts-umlOptimaSystems.vscode-apl-language-clientPaul-Ehigie-Paul.nativescript-extendqoretechnologies.qorus-vscodequantum.quantum-devkit-vscoderitwickdey.LiveServerrkoubou.ksproboceo.robojsx-pluginsalbert.comment-tsSiteGo.spgoterminus.tangram-vscode-plugintintrinh.php-refactortomoki1207.pdfvlopes11.advpls-clientwebhint.vscode-webhintwix.stylable-intelligenceYseop.vscode-yseopmlzfzackfrost.commentbarsZowe.vscode-extension-for-zowe
我們正在通知這些擴充功能的作者。一旦作者更新了他們的擴充功能,並且我們收到了他們的通知,我們將驗證更新。然後您將能夠從 Marketplace 重新安裝該擴充功能。
給擴充功能作者的注意事項:當您使用 yeoman 程式碼產生器產生擴充功能時,您可能已安裝惡意程式碼作為開發相依性的一部分。刪除您的 node_modules 資料夾,使用 npm cache clean --force 清理您的 npm 快取,然後重新執行 npm install。
擴充功能作者需要將 vscode 模組更新至 1.1.22。
我們會隨時向您發布最新消息。