Aggiornamenti recenti Luglio 6th, 2026 4:08 PM
Ago 17, 2023 Marina Londei In evidenza, Minacce, News, Prodotto, RSS, Vulnerabilità 0
I ricercatori di Cycode hanno individuato una vulnerabilità in Visual Studio Code che consente a estensioni malevole di ottenere token di autenticazione e le credenziali memorizzate nei gestori di password del sistema.
In VS Code le estensioni memorizzano i token d’autorizzazione forniti dagli sviluppatori per integrarsi coi servizi di terze parti. L’IDE offre una funzionalità per memorizzare i token in maniera sicura nel sistema operativo, o almeno così si pensava prima che Cycode individuasse una vulnerabilità nel processo.

Pixabay
La vulnerabilità mette a rischio non solo il singolo sviluppatore ma l’intera organizzazione, dal momento che i token solitamente appartengono a degli account aziendali.
Il problema risiede nel fatto che i token di autenticazione di Visual Studio Code non sono isolati rispetto alle estensioni dell’IDE: VS Code mette a disposizione delle estensioni Secret Storage, un’API che consente l’accesso ai token salvati sul sistema.
Qualsiasi estensione, anche malevola, può sfruttare Secret Storage per recuperare i token memorizzati nel gestore delle password, visto che Visual Studio Code vi ha accesso.
Le password sono cifrate ma, spiegano i ricercatori, non è difficile individuare la chiave di cifratura: il team di sicurezza ha scoperto che la chiave viene generata dal percorso dell’eseguibile e dall’ID della macchina, rendendo quindi molto semplice la generazione della chiave.

Pixabay
I ricercatori di Cycode hanno notificato Microsoft della vulnerabilità, ma il gigante di Redmond, pur riconoscendo l’impatto della vulnerabilità, ha deciso di non agire in quanto le estensioni non sono state pensate per essere eseguite in maniera isolata. Il bug deriva dal design stesso del processo, e per questo motivo Microsoft non rilascerà alcun fix.
Di fatto, la responsabilità rimarrà nelle mani degli sviluppatori. Cycode ricorda di limitare, per quanto possibile, il numero di estensioni di VS Code e di controllare sempre l’affidabilità delle fonti da cui provengono. Nel caso in cui un’estensione utilizzi i token o altre informazioni sensibili, è consigliabile implementare un livello ulteriore di cifratura per aumentare la sicurezza.
Feb 05, 2026 0
Gen 15, 2026 0
Dic 11, 2025 0
Ott 30, 2025 0
Lug 06, 2026 0
Giu 21, 2026 0
Giu 16, 2026 0
Giu 09, 2026 0
Lug 06, 2026 0
L’intelligenza artificiale sta entrando nelle aziende...
Giu 09, 2026 0
Il nuovo assetto geopolitico mondiale ha messo a nudo una...
Mag 28, 2026 0
A leggere il nuovo “2026 Cloud Security Report”...
Mag 25, 2026 0
Un volto reale può essere modificato dall’intelligenza...
Mag 22, 2026 0
Gli agenti di intelligenza artificiale sono ormai entrati...
Gen 29, 2025 0
Con l’avvento dell’IA generativa...
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...
Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...
Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...
Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...
Lug 06, 2026 0
L’intelligenza artificiale sta entrando nelle aziende...
Giu 21, 2026 0
La rapida diffusione degli Agenti AI sta creando un...
Giu 16, 2026 0
Sebbene il numero di casi d’uso nel nostro Paese sia...
Giu 09, 2026 0
Il nuovo assetto geopolitico mondiale ha messo a nudo
Giu 04, 2026 0
Un gruppo cybercriminale di lingua cinese fino a poco...
