VSCode主题插件被曝含恶意代码,微软紧急下架处理
当地时间2月26日,微软确认VSCode流行主题扩展“Material Theme”包含潜在恶意代码,并已从VSMarketplace下架,同时远程卸载所有受影响实例。此次事件由社区成员首先发现,并通过安全分析向微软报告,随后微软安全研究团队确认问题并采取措施。微软强调,此次移除并非基于版权或许可问题,而是出于安全考虑。
事件引发了对VSMarketplace安全性的广泛质疑。许多开发者批评微软过度依赖社区发现恶意扩展,而自身审核机制薄弱,且VSCode扩展缺乏沙盒机制,导致插件可在用户系统上不受限制地运行,构成重大安全隐患。此外,该扩展原作者曾修改许可协议,并试图起诉使用旧版Apache2.0许可代码的开发者,引发法律争议。该插件随后以“Fanny Theme”名义重新上传,加剧了社区的不安。然而,微软表示短期内无意为扩展引入权限模型。
近年来,VSCode恶意插件层出不穷,类似事件已多次发生,微软对平台安全问题的长期不作为饱受诟病。
#VSCode #安全 #开源 #微软
当地时间2月26日,微软确认VSCode流行主题扩展“Material Theme”包含潜在恶意代码,并已从VSMarketplace下架,同时远程卸载所有受影响实例。此次事件由社区成员首先发现,并通过安全分析向微软报告,随后微软安全研究团队确认问题并采取措施。微软强调,此次移除并非基于版权或许可问题,而是出于安全考虑。
事件引发了对VSMarketplace安全性的广泛质疑。许多开发者批评微软过度依赖社区发现恶意扩展,而自身审核机制薄弱,且VSCode扩展缺乏沙盒机制,导致插件可在用户系统上不受限制地运行,构成重大安全隐患。此外,该扩展原作者曾修改许可协议,并试图起诉使用旧版Apache2.0许可代码的开发者,引发法律争议。该插件随后以“Fanny Theme”名义重新上传,加剧了社区的不安。然而,微软表示短期内无意为扩展引入权限模型。
近年来,VSCode恶意插件层出不穷,类似事件已多次发生,微软对平台安全问题的长期不作为饱受诟病。
#VSCode #安全 #开源 #微软
