জনপ্রিয় ভিজ্যুয়াল স্টুডিও কোড (VSCode) এক্সটেনশন, সম্মিলিতভাবে 128 মিলিয়নেরও বেশি বার ডাউনলোড করাকে প্রভাবিত করে উচ্চ থেকে গুরুতর তীব্রতার রেটিং সহ দুর্বলতাগুলি স্থানীয় ফাইলগুলি চুরি করতে এবং দূরবর্তীভাবে কোড চালানোর জন্য ব্যবহার করা যেতে পারে।
নিরাপত্তা সমস্যাগুলি লাইভ সার্ভারকে প্রভাবিত করে (CVE-2025-65715), কোড রানার (CVE-2025-65716), মার্কডাউন প্রিভিউ এনহান্সড (CVE-2025-65717), এবং Microsoft লাইভ প্রিভিউ (কোন শনাক্তকারী নির্দিষ্ট করা নেই)।
অ্যাপ্লিকেশন সুরক্ষা সংস্থা অক্স সিকিউরিটির গবেষকরা ত্রুটিগুলি আবিষ্কার করেছেন এবং 2025 সালের জুন থেকে সেগুলি প্রকাশ করার চেষ্টা করেছেন৷ যাইহোক, গবেষকরা বলছেন যে রক্ষণাবেক্ষণকারীরা কেউই প্রতিক্রিয়া জানায়নি৷
IDE-তে রিমোট কোড এক্সিকিউশন
VSCode এক্সটেনশন হল অ্যাড-অন যা Microsoft এর ইন্টিগ্রেটেড ডেভেলপমেন্ট এনভায়রনমেন্ট (IDE) এর কার্যকারিতা প্রসারিত করে। তারা ভাষা সমর্থন, ডিবাগিং টুল, থিম এবং অন্যান্য কার্যকারিতা বা কাস্টমাইজেশন বিকল্প যোগ করতে পারে।
তারা ফাইল, টার্মিনাল এবং নেটওয়ার্ক সংস্থান সহ স্থানীয় উন্নয়ন পরিবেশে উল্লেখযোগ্য অ্যাক্সেস সহ চালায়।
অক্স সিকিউরিটি আবিষ্কৃত প্রতিটি ত্রুটির জন্য প্রতিবেদন প্রকাশ করেছে এবং সতর্ক করেছে যে দুর্বল এক্সটেনশনগুলি থাকা কর্পোরেট পরিবেশকে পার্শ্বীয় আন্দোলন, ডেটা অনুপ্রবেশ এবং সিস্টেম টেকওভারের ঝুঁকিতে ফেলতে পারে।
CVE-2025-65717 লাইভ সার্ভার এক্সটেনশনে গুরুতর দুর্বলতা (VSCode-এ 72 মিলিয়নেরও বেশি ডাউনলোড) আক্রমণকারীকে একটি দূষিত ওয়েবপেজে লক্ষ্যকে নির্দেশ করে স্থানীয় ফাইলগুলি চুরি করার অনুমতি দিতে পারে।
CVE-2025-65715 কোড রানার VSCode এক্সটেনশনে দুর্বলতা, 37 মিলিয়ন ডাউনলোড সহ, এক্সটেনশনের কনফিগারেশন ফাইল পরিবর্তন করে দূরবর্তী কোড কার্যকর করার অনুমতি দেয়। টার্গেটটিকে পেস্ট করার মাধ্যমে বা বিশ্বব্যাপী একটি দূষিত কনফিগারেশন স্নিপেট প্রয়োগ করে এটি অর্জন করা যেতে পারে settings.json ফাইল
8.8 এর উচ্চ-তীব্রতার স্কোর সহ রেট করা হয়েছে, CVE-2025-65716 মার্কডাউন প্রিভিউ এনহান্সড (8.5 মিলিয়ন ডাউনলোড) প্রভাবিত করে এবং একটি দূষিতভাবে তৈরি করা মার্কডাউন ফাইলের মাধ্যমে জাভাস্ক্রিপ্ট চালানোর জন্য ব্যবহার করা যেতে পারে।
অক্স সিকিউরিটি গবেষকরা 0.4.16-এর আগে মাইক্রোসফ্ট লাইভ প্রিভিউ-এর সংস্করণগুলিতে এক-ক্লিক XSS দুর্বলতা আবিষ্কার করেছেন। এটি একটি বিকাশকারীর মেশিনে সংবেদনশীল ফাইল অ্যাক্সেস করতে ব্যবহার করা যেতে পারে। VSCode-এ এক্সটেনশনটির 11 মিলিয়নেরও বেশি ডাউনলোড হয়েছে।
এক্সটেনশনের ত্রুটিগুলি কার্সার এবং উইন্ডসার্ফের ক্ষেত্রেও প্রযোজ্য, যেগুলি AI-চালিত VSCode-সামঞ্জস্যপূর্ণ বিকল্প IDE গুলি৷
অক্স সিকিউরিটির রিপোর্টে হাইলাইট করা হয়েছে যে কোনও হুমকি অভিনেতা সমস্যাগুলির সুবিধা নেওয়ার সাথে সম্পর্কিত ঝুঁকিগুলির মধ্যে রয়েছে নেটওয়ার্কে পিভট করা এবং এপিআই কী এবং কনফিগারেশন ফাইলের মতো সংবেদনশীল বিবরণ চুরি করা।
ডেভেলপারদের পরামর্শ দেওয়া হয় প্রয়োজন না হলে লোকালহোস্ট সার্ভার চালানো এড়াতে, তারা চলাকালীন অবিশ্বস্ত এইচটিএমএল খুলুন এবং অবিশ্বস্ত কনফিগারেশন প্রয়োগ করুন বা settings.json-এ স্নিপেট পেস্ট করুন।
অতিরিক্তভাবে, অপ্রত্যাশিত সেটিং পরিবর্তনের জন্য পর্যবেক্ষণ করার সময়, অপ্রয়োজনীয় এক্সটেনশনগুলি সরিয়ে ফেলা এবং শুধুমাত্র সম্মানিত প্রকাশকদের থেকে সেগুলি ইনস্টল করার পরামর্শ দেওয়া হয়।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
