آسیبپذیری در Cursor اجازه میدهد مخزنهای کلونشده مخرب کد را در ویندوز اجرا کنند.
در ویرایشگر کدیورسر روی ویندوز یک باگ امنیتی جدی پیدا شده. اگه فایلی به نام git.exe توی ریشه پروژه قرار داشته باشد، کدیورسر بدون هیچ هشداری اون رو اجرا میکنه و تا وقتی پروژه بازه، این کار رو تکرار میکنه.
چرا مهمه؟
توسعهدهندهها وقتی یه ریپازیتوری کلون میکنن، ممکنه فایلهای مخرب توش جاگذاری شده باشه. کدیورسر این فایل رو با دسترسیهای خود کاربر اجرا میکنه، یعنی به کلیدهای SSH، توکنهای ابری و سورسکد دسترسی کامل داره. هر کسی که با کدیورسر روی ویندوز کار میکنه، بهخصوص کسایی که پروژههای عمومی و خارجی کلون میکنن، در معرض خطر قرار داره.
به درد کی میخوره؟
توسعهدهندگانی که از کدیورسر روی ویندوز استفاده میکنن تیمهای امنیتی و DevSecOps مهندسهای نرمافزار که با ریپازیتوریهای عمومی کار میکنن مدیران فنی سازمانها
تو عمل چی کار کنیم؟
اول از همه، اگه از کدیورسر روی ویندوز استفاده میکنی، قبل از باز کردن هر پروژهای مطمئن شو فایل مشکوکی توی ریشه اون وجود نداره. از کلون کردن ریپازیتوریهای ناشناس خودداری کن و منتظر آپدیت امنیتی کدیورسر باش. سازمانها هم بهتره دسترسی کارمندا به ریپازیتوریهای خارجی رو محدود کنن.
نظر Blue IT News
ابزارهای هوش مصنوعی توی فضای توسعه دارن سریع رشد میکنن، اما مشکل امنیتی از این دست یادآوری میکنه که سرعت نوآوری نباید به قیمت امنیت تمام بشه. پیش از اینکه کدیورسر وصله بزنه، ریسک کلون ریپازیتوری ناشناخته رو جدی بگیرید.