Οι πιο πρόσφατες εκδόσεις των ενσωματωμένων περιβαλλόντων ανάπτυξης Cursor και Windsurf είναι ευάλωτες σε περισσότερα από 94 γνωστά και διορθωμένα ζητήματα ασφαλείας στο πρόγραμμα περιήγησης Chromium και στη μηχανή JavaScript V8.
Υπολογίζεται ότι 1,8 εκατομμύρια προγραμματιστές, η βάση χρηστών για τα δύο IDE, είναι εκτεθειμένοι στους κινδύνους.
Οι ερευνητές της Ox Security εξηγούν ότι και τα δύο περιβάλλοντα ανάπτυξης είναι χτισμένα σε παλιό λογισμικό που περιλαμβάνει ξεπερασμένες εκδόσεις του προγράμματος περιήγησης Chromium ανοιχτού κώδικα και της μηχανής V8 της Google.
Λένε ότι το Cursor και το Windsurf βασίζονται σε παλιές εκδόσεις του VS Code που περιλαμβάνουν παλιές εκδόσεις του πλαισίου Electron για τη δημιουργία εφαρμογών πολλαπλών πλατφορμών χρησιμοποιώντας τεχνολογίες ιστού (HTML, CSS, JavaScript).
«Δεδομένου ότι η Electron ενσωματώνει το Chromium και το V8, αυτό σημαίνει ότι τα IDE βασίζονται σε ξεπερασμένους κινητήρες Chromium και V8, εκθέτοντάς τους σε ευπάθειες που έχουν ήδη διορθωθεί σε νεότερες εκδόσεις», αναφέρουν οι ερευνητές σε μια έκθεση κοινόχρηστο με BleepingComputer.
Οι ερευνητές λένε ότι το Cursor και το Windsurf είναι ευάλωτα σε τουλάχιστον 94 ευπάθειες που υπάρχουν στις εκδόσεις Chromium που χρησιμοποιούν.
Παρά το γεγονός ότι το ζήτημα ασφαλείας αποκαλύφθηκε υπεύθυνα από τις 12 Οκτωβρίου, οι κίνδυνοι εξακολουθούν να υπάρχουν καθώς ο Cursor θεώρησε την αναφορά “εκτός πεδίου εφαρμογής” και η Windsurf δεν απάντησε.
.jpg)
Πηγή: Ox Security
Το Chrome κινδυνεύει στο IDE
Ο κέρσορας και το Windsurf είναι επεξεργαστές κώδικα με τεχνητή νοημοσύνη και έχουν διαχωριστεί από τον κώδικα του Visual Studio. Ενσωματώνουν μοντέλα μεγάλων γλωσσών (LLM) για να βοηθήσουν τους προγραμματιστές να γράφουν λογισμικό πιο εύκολα και γρήγορα.
Διανέμονται ως εφαρμογές Electron, που σημαίνει χρόνο εκτέλεσης εφαρμογής που συσκευάζει μια συγκεκριμένη έκδοση του Chromium για απόδοση περιεχομένου ιστού και περιλαμβάνει τη μηχανή JavaScript V8 του προγράμματος περιήγησης στο δυαδικό αρχείο.
Η συγκεκριμένη έκδοση Electron καρφιτσώνει μια έκδοση Chromium + V8 και εάν ο προμηθευτής δεν την αναβαθμίσει, τα ελαττώματα που διορθώνονται σε κάθε επόμενη έκδοση γίνονται εκμεταλλεύσιμοι κίνδυνοι στο IDE.
Η Ox Security έδειξε ότι είναι δυνατή η εκμετάλλευση της υπερχείλισης ακέραιου αριθμού Maglev JIT που περιγράφεται στο CVE-2025-7656 μέσω μιας σύνδεσης βαθιάς, η οποία εκτελεί τον Δρομέα και εισάγει μια προτροπή που δίνει εντολή στο πρόγραμμα περιήγησής του να επισκεφτεί μια απομακρυσμένη διεύθυνση URL που φιλοξενεί ένα ωφέλιμο φορτίο εκμετάλλευσης.
Η απομακρυσμένη σελίδα εξυπηρετεί JavaScript που ενεργοποιεί την εκμετάλλευση του CVE-2025-7656, προκαλώντας άρνηση υπηρεσίας, διακόπτοντας τη λειτουργία απόδοσης.
Οι Nir Zadok και Moshe Siman Tov Bustan της Ox Security επέδειξαν τα ευρήματά τους στοχεύοντας το Cursor IDE με ένα exploit για το CVE-2025-7656, μια ευπάθεια υπερχείλισης ακέραιου αριθμού στον κινητήρα V8 του Google Chrome που διορθώθηκε στις 15 Ιουλίου.
Το proof-of-concept exploit έκανε τον Cursor να εισέλθει σε μια συνθήκη άρνησης υπηρεσίας (crash), όπως φαίνεται στο παρακάτω βίντεο:
Ωστόσο, η Ox Security σημειώνει ότι η αυθαίρετη εκτέλεση κώδικα είναι επίσης δυνατή σε επιθέσεις πραγματικού κόσμου.
Ένας αντίπαλος θα είχε πολλαπλές επιλογές για να ενεργοποιήσει την ευπάθεια. Οι ερευνητές λένε ότι ένας εισβολέας θα μπορούσε να χρησιμοποιήσει μια κακόβουλη επέκταση για να ενεργοποιήσει το exploit ή να εισάγει τον κώδικα εκμετάλλευσης σε τεκμηρίωση και σεμινάρια.
Οι χάκερ θα μπορούσαν επίσης να βασιστούν σε κλασικές επιθέσεις phishing ή να αξιοποιήσουν δηλητηριασμένα αποθετήρια τοποθετώντας κακόβουλο κώδικα σε αρχεία README που έχουν προεπισκόπηση στο IDE.
.jpg)
Πηγή: Ox Security
Η Ox Security σημειώνει ότι το exploit δεν λειτουργεί στον πιο πρόσφατο κώδικα VS, ο οποίος ενημερώνεται τακτικά και αντιμετωπίζει όλα τα γνωστά σφάλματα.
Μόλις έλαβε το proof-of-concept exploit, ο Cursor απέρριψε την αναφορά λέγοντας ότι η αυτοπροκληθείσα DoS είναι εκτός πεδίου εφαρμογής.
Ωστόσο, οι ερευνητές παρατήρησαν ότι αυτή η στάση αγνοεί το πιο σοβαρό δυναμικό εκμετάλλευσης του ελαττώματος, συμπεριλαμβανομένων των πρωτόγονων καταστροφών της μνήμης, ή ακόμη και του ευρύτερου συνόλου των μη επιδιορθωμένων CVE στις εφαρμογές Electron που χρησιμοποιούνται.
“Από την τελευταία τους ενημέρωση Chromium στις 21-03-2025 για την έκδοση 0.47.9 από τότε που κυκλοφόρησε το Chromium 132.0.6834.210, έχουν δημοσιευτεί τουλάχιστον 94 γνωστά CVE. Έχουμε οπλίσει μόνο ένα. Η επιφάνεια επίθεσης είναι τεράστια”, εξηγεί η Ox Security.
Η BleepingComputer επικοινώνησε με τον Cursor και την Windsurf ζητώντας ένα σχόλιο σχετικά με την αναφορά της Ox Security, αλλά δεν έχουμε λάβει νέα μέχρι την ώρα της δημοσίευσης.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
