Η Microsoft έχει αποκαλύψει δύο κρίσιμα τρωτά σημεία ασφαλείας στο GitHub Copilot και το Visual Studio που θα μπορούσαν να επιτρέψουν στους εισβολείς να παρακάμψουν βασικές λειτουργίες ασφαλείας.
Και τα δύο τρωτά σημεία κυκλοφόρησαν στις 11 Νοεμβρίου 2025 και τους έχει εκχωρηθεί μια βαθμολογία Σημαντική σοβαρότητα.
Ευπάθεια διέλευσης διαδρομής στο Visual Studio
Η πρώτη ευπάθεια, παρακολουθείται ως CVE-2025-62449απορρέει από ακατάλληλους περιορισμούς στον χειρισμό των ονομάτων διαδρομής και ταξινομείται ως ελάττωμα διέλευσης διαδρομής (CWE-22).
Αυτή η αδυναμία επιτρέπει στους εισβολείς να έχουν πρόσβαση σε αρχεία και καταλόγους εκτός περιορισμένων περιοχών σε ένα τοπικό σύστημα.
Με βαθμολογία CVSS 6,8, αυτή η ευπάθεια απαιτεί χαμηλή πολυπλοκότητα επίθεσης και τοπική πρόσβαση με περιορισμένα προνόμια.
Ο παράγοντας απειλής χρειάζεται την αλληλεπίδραση με τον χρήστη για να ενεργοποιήσει την ευπάθεια, αλλά μόλις γίνει εκμετάλλευση, θα μπορούσε να επιτύχει υψηλό αντίκτυπο εμπιστευτικότητας και ακεραιότητας, μαζί με περιορισμένο αντίκτυπο στη διαθεσιμότητα.
Το διάνυσμα επίθεσης είναι τοπικό, που σημαίνει ότι ο εισβολέας πρέπει να έχει κάποιο επίπεδο πρόσβασης στο επηρεαζόμενο σύστημα.
| CVE ID | Προϊόν | Σύγκρουση | Αδυναμία | Βαθμολογία CVSS |
|---|---|---|---|---|
| CVE-2025-62449 | Visual Studio | Παράκαμψη λειτουργιών ασφαλείας | CWE-22: Path Traversal | 6.8 |
| CVE-2025-62453 | GitHub Copilot | Παράκαμψη λειτουργιών ασφαλείας | CWE-1426: Επικύρωση εξόδου AI | 5.0 |
Ο κίνδυνος εντείνεται, καθώς πολλοί προγραμματιστές χρησιμοποιούν το Visual Studio ως το κύριο περιβάλλον ανάπτυξης τους, εκθέτοντας δυνητικά ευαίσθητο πηγαίο κώδικα και αρχεία διαμόρφωσης σε μη εξουσιοδοτημένη πρόσβαση.
Σφάλμα επικύρωσης εξόδου AI στο GitHub Copilot
Το δεύτερο θέμα ευπάθειας, το CVE-2025-62453, περιλαμβάνει ακατάλληλη επικύρωση της παραγωγής τεχνητής νοημοσύνης (CWE-1426) και αστοχία στον μηχανισμό προστασίας (CWE-693).
Αυτό το ελάττωμα στοχεύει συγκεκριμένα τις προτάσεις κώδικα που δημιουργούνται από AI του GitHub Copilot.
Με βαθμολογία CVSS 5,0, αυτή η ευπάθεια θα μπορούσε να επιτρέψει στους εισβολείς να χειριστούν την έξοδο AI για να παρακάμψουν τους ελέγχους ασφαλείας ή να εισαγάγουν συστάσεις κακόβουλου κώδικα.
Αυτή η ευπάθεια είναι ιδιαίτερα ανησυχητική καθώς οι προγραμματιστές συχνά εμπιστεύονται και εφαρμόζουν προτάσεις κώδικα από βοηθούς AI χωρίς ενδελεχή έλεγχο.
Οι εισβολείς που εκμεταλλεύονται αυτό το ελάττωμα θα μπορούσαν να εισαγάγουν κερκόπορτες ή ελαττώματα ασφαλείας απευθείας στα έργα μέσω προτάσεων παραβιασμένου κώδικα. Και τα δύο τρωτά σημεία απαιτούν αλληλεπίδραση με τον χρήστη και πρόσβαση στο τοπικό σύστημα, αλλά ενέχουν σημαντικούς κινδύνους για τις ομάδες ανάπτυξης.
Η Microsoft έχει απελευθερώθηκε ενημερώσεις κώδικα μέσω επίσημων καναλιών CVE και οι προγραμματιστές που χρησιμοποιούν το GitHub Copilot και το Visual Studio θα πρέπει να εφαρμόζουν αμέσως ενημερώσεις.
Η αποκάλυψη υπογραμμίζει τις αυξανόμενες ανησυχίες για την ασφάλεια σχετικά με τα εργαλεία ανάπτυξης που υποστηρίζονται από AI και τη σημασία της επικύρωσης του παραγόμενου κώδικα πριν από την εφαρμογή.
Οι οργανισμοί θα πρέπει να επανεξετάσουν τις αναπτυξιακές τους πρακτικές και τις πολιτικές ασφάλειας που αφορούν τα εργαλεία δημιουργίας κώδικα AI.
Συνιστάται στις ομάδες ανάπτυξης να ελέγχουν τις επίσημες συμβουλές ασφαλείας της Microsoft για διαθέσιμες ενημερώσεις κώδικα και να εφαρμόζουν τις κατάλληλες διαδικασίες ελέγχου κώδικα για όλες τις προτάσεις που δημιουργούνται από AI.
