EP
Надеюсь они не планируют резать мамазоны и тд
Size: a a a
2021 May 15
K
Пытались же уже... Не вышло.
2021 May 16
💭П
Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные системные файлы при открытии в редакторе специально оформленного исходного кода. В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
Продемонстрирован метод атаки на редактор кода VSCode, позволяющий передать произвольные системные файлы при открытии в редакторе специально оформленного исходного кода. В предложенной демонстрации при открытии кода на языке Rust, в котором используется процедурный макрос, выполняется установка соединения с хостом 127.0.0.1:8080 и отправка содержимого файла "~/.ssh/id_rsa" с SSH-ключами пользователя.
НН
^^"~/.ssh/id_rsa" - это не "произвольные системные файлы", а файл юзера к которому естественно может получить доступ любой скрипт, запускаемый юзером.^^(c) (в комментах опеннета всегда больше полезной нагрузки чем в новости)
💭П
т.е. если у тебя из этой папки при открытие проекта, а не запуска утекут все файлы, это нормально?
💭П
Ну Ок, чё =)
💭П
И там сказано, что проблема именно в том, что есть проблема с "процедурными макросами" и именно они зло.
💭П
произвольные файлы в рамках прав текущего пользователяНН
а в чем проблема? в средствах автоматизации есть логика, которая что то там делает. она может делать что угодно с правами текущего пользователя.
И вообще причем тут vscode.
И вообще причем тут vscode.
НН
Для работы примера требуется наличие в VSCode плагина rust-analyzerну те кодерок сам на это пошел
💭П
Ээээ..... как всё запущено... Ты статью то прочитал? Или ты как большинство ОпнетныхЕкспертов?
НН
фига ты троль
💭П
Я? Ещё тот. Особенно когда оппонент сам подставляется.
💭П
1) Название статьи: Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов
2) Продемонстрирован метод атаки на редактор кода VSCode
3) Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования. VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
2) Продемонстрирован метод атаки на редактор кода VSCode
понятно, что если в нём демонстрируется, то всё получится.3) Отмечается, что проблема может затрагивать другие редакторы кода и языки программирования. VSCode и rust-analyze использованы лишь для демонстрации вектора атаки.
💭П
И все сразу накидываются на VSCode, потом на Раст.
💭П
А на мой взгляд, ключевая информация тут
Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, которые позволяют создавать расширения синтаксиса и выполнять код на этапе компиляции. Изначально исследователь изучал возможность совершения вредоносных действий во время компиляции кода, но обнаружил, что процедурные макросы раскрываются при обработке исходных текстов в редакторах кода.N
Вроде там об этом и написано что это сама проблема а vscode лишь пример
💭П
Так это увидели, те кто прочитал внимательно )
N
"VSCode и rust-analyze использованы лишь для демонстрации вектора атаки. Теоретически проблеме подвержен любой редактор кода, раскрывающий процедурные макросы, которые позволяют создавать расширения синтаксиса и выполнять код на этапе компиляции. "
💭П
@nexi5, ты в комменты загляни, там трагикомедия (