Extensions

Selon GBHackers Security, de graves vulnérabilités touchent quatre extensions populaires de Visual Studio Code (VS Code), avec un impact sur plus de 128 millions de téléchargements. L’article précise que ces failles incluent trois vulnérabilités référencées: CVE-2025-65715, CVE-2025-65716 et CVE-2025-65717. ⚠️ Elles mettent en lumière les IDE comme maillon faible de la sécurité de la chaîne d’approvisionnement logicielle. Vulnérabilités identifiées CVE Extension Score CVSS Type de vulnérabilité Versions affectées CVE-2025-65717 Live Server 9.1 Exfiltration de fichiers locaux Toutes versions CVE-2025-65715 Code Runner 7.8 Exécution de code à distance (RCE) Toutes versions CVE-2025-65716 Markdown Preview Enhanced 8.8 Exécution JavaScript menant à exfiltration de données Toutes versions N/A Microsoft Live Preview N/A XSS permettant accès aux fichiers IDE < 0.4.16 Le texte souligne que les développeurs stockent fréquemment des données sensibles directement dans l’IDE, telles que des clés API, de la logique métier, des configurations de base de données et parfois des informations clients, ce qui accroît les risques en cas d’exploitation. ...

Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance. Les extensions concernées totalisent plus de 128 millions de téléchargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

Source: blog.mozilla.org (Alan Byrne, 23 octobre 2025). Mozilla annonce un changement de politique pour les extensions Firefox centré sur la transparence de la collecte de données. À partir du 3 novembre 2025, toutes les nouvelles extensions Firefox devront déclarer si elles collectent ou transmettent des données personnelles dans le manifest.json via la clé browser_specific_settings.gecko.data_collection_permissions. 🧩🔒 Les extensions qui ne collectent ni ne transmettent de données doivent le préciser en définissant la permission « none required » dans cette propriété. ...

Selon BleepingComputer, à partir du mois prochain, Mozilla exigera des développeurs d’extensions Firefox de divulguer si leurs modules collectent ou partagent des données utilisateur avec des tiers. Points clés: Produit concerné: extensions Firefox Changement: obligation de divulgation par les développeurs Portée de la divulgation: collecte et/ou partage de données utilisateur avec des tiers Calendrier: entrée en vigueur dès le mois prochain Cet article est une annonce d’actualité produit dont l’objectif principal est d’informer sur une nouvelle exigence de divulgation pour les extensions Firefox. ...

Selon un article de BleepingComputer, une vulnérabilité critique a été découverte dans OpenVSX, une plateforme d’hébergement d’extensions pour les environnements de développement. Cette faille, identifiée par Koi Security, aurait pu permettre à des attaquants de prendre le contrôle de millions de machines de développeurs en exploitant la chaîne d’approvisionnement des extensions. La vulnérabilité était de type zero-day, ce qui signifie qu’elle était inconnue avant d’être découverte par Koi Security. Elle a depuis été corrigée, mais cet incident souligne les risques croissants associés aux extensions en tant que vecteurs d’attaque dans les chaînes d’approvisionnement logicielles. ...

Des chercheurs de chez Varonis ont présenté une preuve de concept (PoC) baptisée Cookie-Bite, qui montre comment une simple extension Chrome peut être utilisée pour voler des cookies de session liés à Azure Entra ID (anciennement Azure AD). Cette méthode permet de contourner l’authentification multifacteur (MFA), en accordant à l’attaquant un accès persistant aux comptes cloud comme Microsoft 365, Outlook, Teams, etc. 🔐 Détails techniques L’attaque repose sur la capture de deux cookies critiques : ...