2025/02/27

MS remove temas do VSCode por risco de segurança

A Microsoft removeu duas extensões populares do VSCode, Material Theme Free e Material Theme Icons Free, devido a preocupações de segurança - mas o seu criador diz que não é culpa sua.

Investigadores descobriram coisas suspeitas nestes temas, incluindo código JavaScript codificado, que indicam o possível acesso não autorizado a dados dos utilizadores. A Microsoft confirmou as descobertas e decidiu cortar o mal pela raiz, banindo a conta do programador Mattia Astorino (equinusocio), removendo todas as suas extensões do marketplace, e desinstalando-as dos sistemas que as tivessem instalado. Com quase 9 milhões de downloads, é natural que tal se tenha transformado numa operação com grande visibilidades.

Mas, do lado do criador destes temas e extensões, a coisa está a ser apresentada de forma totalmente diferente. Mattia Astorino nega qualquer intenção maliciosa, dizendo que o problema surgiu de uma dependência desactualizada do Sanity.io que foi comprometida com código malicioso. O programador criticou a Microsoft por remover as extensões sem qualquer aviso prévio, dizendo que o "problema" era algo que ele poderia ter resolvido em menos de um minuto. No entanto, a Microsoft manteve a decisão e promete divulgar mais informações sobre a investigação em breve - embora fique por esclarecer se a MS irá aceitar que a falha de segurança tenha tido origem em algo fora da responsabilidade directa do programador.

Por um lado, pode entender-se a posição da MS, de jogar pelo seguro e não arriscar deixar milhões de utilizadores do VSCode em risco; por outro lado, talvez tenha exagerado ao banir o programador sem sequer lhe ter dado oportunidade para que se explicasse. Seja qual for a forma como se encara o assunto, será mais um exemplo dos riscos dos ataques "supply chain", em que os atacantes inserem código malicioso em componentes antigos, usados em centenas ou milhares de outros projectos, como forma de atingir uma enorme quantidade de vítimas, aproveitando-se da boa reputação desse projectos.

Publicado por Carlos Martins às 21:00


Sem comentários:

Enviar um comentário (problemas a comentar?)

Subscrever: Enviar feedback (Atom)