Event-Stream 包安全更新
已更新:2019 年 6 月 23 日
我们一直在与扩展作者合作,以更新他们的扩展和依赖项。
以下是当前被阻止的扩展列表
JacobeanResearchandDevelopmentLLC.vscode-scxml-previewjoaquin6.package-watchKazuoCode.gthubsumMaxGotovkin.tslens
2018 年 11 月 26 日 Kai Maetzel, @kaimaetzel
您可能已经听说流行的 event-stream NPM 包包含恶意依赖项。详细信息可以在以下 GitHub issue 中找到:https://github.com/dominictarr/event-stream/issues/116。此漏洞已存在约两个月,但最近才被发现。
简而言之:Visual Studio Code 不受行业范围内的 NPM
event-stream包安全问题的影响,并且我们已通过从 VS Code Marketplace 中临时删除受此包影响的扩展,从而积极地保护了我们的用户群。
我们立即检查了我们是否以及如何受到影响。首先,我们扫描了 Visual Studio Code。Visual Studio Code 的两个产品安装(稳定版和 Insiders 版)都是安全的。
其次,我们扫描了 VS Code Marketplace 中的所有扩展。我们确定了几个受影响的扩展。我们决定采取积极措施来保护我们的用户以及这些扩展的作者,并自动卸载这些扩展。用户无需采取任何措施来删除这些扩展。这些扩展也将从 Marketplace 中取消列出。
在扫描时,以下扩展包含恶意代码
aoisupersix.bve5-language-supportapollographql.vscode-apolloardenivanov.svelte-intellisenseballerina.ballerinaBattleBas.kivy-vscodecesium.gltf-vscodechristianvoigt.argdown-vscodecodemooseus.vscode-devtools-for-chromecurlybracket.vlocodeivory-lab.jenkinsfile-supportJacobeanResearchandDevelopmentLLC.vscode-scxml-previewjoe-re.sql-language-serverjomiller.rtags-clientjorithvdheuvel.webdavKazuoCode.gthubsumkddejong.vscode-cfn-lintKoihik.vscode-lua-formatmyxvisual.vscode-ts-umlOptimaSystems.vscode-apl-language-clientPaul-Ehigie-Paul.nativescript-extendqoretechnologies.qorus-vscodequantum.quantum-devkit-vscoderitwickdey.LiveServerrkoubou.ksproboceo.robojsx-pluginsalbert.comment-tsSiteGo.spgoterminus.tangram-vscode-plugintintrinh.php-refactortomoki1207.pdfvlopes11.advpls-clientwebhint.vscode-webhintwix.stylable-intelligenceYseop.vscode-yseopmlzfzackfrost.commentbarsZowe.vscode-extension-for-zowe
我们正在通知这些扩展的作者。一旦作者更新了他们的扩展并收到他们的通知,我们将验证更新。然后您将能够从 Marketplace 重新安装该扩展。
给扩展作者的注意事项:当您使用 yeoman 代码生成器生成扩展时,您可能已安装了恶意代码作为开发依赖项的一部分。删除您的 node_modules 文件夹,使用 npm cache clean --force 清理您的 npm 缓存,然后重新运行 npm install。
扩展作者需要将 vscode 模块更新到 1.1.22。
我们会随时向您通报最新情况。