Visual Studio Code

Selon un article publié le 19 février 2026, des vulnérabilités graves touchent plusieurs extensions populaires de Visual Studio Code (VSCode). Des vulnérabilités hautes à critiques affectant plusieurs extensions Visual Studio Code (et IDE compatibles comme Cursor et Windsurf) pourraient permettre à un attaquant de voler des fichiers locaux et/ou d’exécuter du code à distance. Les extensions concernées totalisent plus de 128 millions de téléchargements. Source : BleepingComputer — Flaws in popular VSCode extensions expose developers to attacks https://www.bleepingcomputer.com/news/security/flaws-in-popular-vscode-extensions-expose-developers-to-attacks/ ...

Selon un article publié par Bleeping Computer, un hacker a réussi à intégrer un code destructeur de données dans une version de l’assistant génératif d’Amazon, connu sous le nom de Q Developer Extension pour Visual Studio Code. Cette attaque vise à compromettre les développeurs utilisant cette extension en insérant un code malveillant capable de supprimer des données. L’extension affectée est utilisée dans l’environnement de développement Visual Studio Code, ce qui pourrait avoir des conséquences significatives pour les développeurs qui l’utilisent. ...

En mai 2025, une publication de la société Starlabs révèle une vulnérabilité critique dans Visual Studio Code (VS Code version <= 1.89.1) qui permet une escalade d’un bug XSS en exécution de code à distance (RCE), même en mode restreint. VS Code, qui fonctionne sur Electron, utilise des processus de rendu en bac à sable communiquant avec le processus principal via le mécanisme IPC d’Electron. La faille réside dans le mode de rendu minimal des erreurs récemment introduit pour les notebooks Jupyter, permettant l’exécution de code JavaScript arbitraire dans le WebView de l’application VS Code pour le rendu des notebooks. ...