ZauberZora
Well-known member
Riesige Sicherheitslücken in beliebten KI-Coding-IDEs, Entwickler gefährdet!
Ein Forschungsteam von OX Security hat eine schockierende Entdeckung gemacht: Die beliebten KI-Coding-Entwicklungsumgebungen Cursor und Windsurf basieren auf einer veralteten Chromium-Version mit mindestens 94 bekannten Sicherheitslücken. Das bedeutet, dass rund ein und acht Millionen Entwickler in Gefahr sind.
Die Forscher haben nachgewiesen, dass die beiden IDEs auf VS Code basieren, das wiederum anfällig für chromium-basierte Sicherheitslücken ist. Diese Lücken können von Angreifern ausgenutzt werden, um durch das Erstellen von Javascript-Funktionen mit langen Argumentlisten einen Integer-Überlauf zu erzeugen, der zu einem Programmabsturz oder sogar einer Schadcodeausführung führen kann.
Die Forscher warnen vor den möglichen Auswirkungen: "Es gibt mehr als 94 bekannte Schwachstellen in den zugrunde liegenden Komponenten, die für eine Codeausführung aus der Ferne ausgenutzt werden könnten". Ein Angreifer könnte beispielsweise Daten exfiltrieren oder Softwareprojekte der Nutzer manipulieren.
Die Sicherheitslücken sind bereits seit März bestehen und wurden bisher nicht behoben. Der Forscher warnen davor, dass diese Lücken bis zu dieser Zeit ungenutzt bleiben könnten.
Um das Risiko zu minimieren, fordern die Forscher die Entwickler der betroffenen IDEs dazu auf, den integrierten Chromium-Browser und das Electron-Framework konsequent zu aktualisieren und diesen Vorgang automatisiert zu machen.
Es bleibt abzuwarten, ob die Entwickler von Cursor und Windsurf entsprechend reagieren werden. OX Security hat diese Lücken bereits am 12. Oktober aufmerksam gemacht, aber das Start-up Windsurf scheint bisher keine Maßnahmen ergriffen zu haben.
Ein Forschungsteam von OX Security hat eine schockierende Entdeckung gemacht: Die beliebten KI-Coding-Entwicklungsumgebungen Cursor und Windsurf basieren auf einer veralteten Chromium-Version mit mindestens 94 bekannten Sicherheitslücken. Das bedeutet, dass rund ein und acht Millionen Entwickler in Gefahr sind.
Die Forscher haben nachgewiesen, dass die beiden IDEs auf VS Code basieren, das wiederum anfällig für chromium-basierte Sicherheitslücken ist. Diese Lücken können von Angreifern ausgenutzt werden, um durch das Erstellen von Javascript-Funktionen mit langen Argumentlisten einen Integer-Überlauf zu erzeugen, der zu einem Programmabsturz oder sogar einer Schadcodeausführung führen kann.
Die Forscher warnen vor den möglichen Auswirkungen: "Es gibt mehr als 94 bekannte Schwachstellen in den zugrunde liegenden Komponenten, die für eine Codeausführung aus der Ferne ausgenutzt werden könnten". Ein Angreifer könnte beispielsweise Daten exfiltrieren oder Softwareprojekte der Nutzer manipulieren.
Die Sicherheitslücken sind bereits seit März bestehen und wurden bisher nicht behoben. Der Forscher warnen davor, dass diese Lücken bis zu dieser Zeit ungenutzt bleiben könnten.
Um das Risiko zu minimieren, fordern die Forscher die Entwickler der betroffenen IDEs dazu auf, den integrierten Chromium-Browser und das Electron-Framework konsequent zu aktualisieren und diesen Vorgang automatisiert zu machen.
Es bleibt abzuwarten, ob die Entwickler von Cursor und Windsurf entsprechend reagieren werden. OX Security hat diese Lücken bereits am 12. Oktober aufmerksam gemacht, aber das Start-up Windsurf scheint bisher keine Maßnahmen ergriffen zu haben.
Das ist ja nicht gut, die Sicherheitslücken in den beliebten KI-Coding-IDEs sind einfach unverständlich. Wie konnten diese Lücken schon seit März offen bleiben und nichts dagegen unternommen wurde? Die Forscher haben wirklich gut recherchiert, ich habe noch nie von diesen Schwachstellen gehört. Es ist ja auch ein bisschen besorgniserregend, dass es mehr als 94 bekannte Schwachstellen gibt, die aus der Ferne ausgenutzt werden könnten. 
Ich hoffe, die Entwickler von Cursor und Windsurf reagieren bald und aktualisieren diese Browser und Frameworks. Es ist wichtig, dass man sich um die Sicherheit dieser Tools kümmert. 
, dass es solche Sicherheitslücken in den beliebten KI-Coding-IDEs gibt! Entwickler, die nicht aufpasst, könnten tatsächlich gefährdet sein. Ich denke, es wäre super, wenn alle Entwickler ihre IDEs regelmäßig aktualisieren und überprüfen würden, um sicherzustellen, dass ihre Code-Base auch von Sicherheitslücken freigegeben wird 
. Die Forscher haben ja ganz richtig bemerkt, dass es mehr als 94 bekannte Schwachstellen gibt, die ausgenutzt werden könnten, um Daten zu exfiltrieren oder Softwareprojekte zu manipulieren... das ist einfach nicht zu riskieren! 
Das ist einfach unglücklich! Entwickler, halt euch in Acht! 
Ich hoffe, die Entwickler von Cursor und Windsurf hörn endlich zu und aktualisieren den integrierten Chromium-Browser und das Electron-Framework. 
Es ist einfach nicht mehr sinnvoll, wenn man sich auf die Sicherheit verlässt. 
. Wie geht man da nur noch auf solche Dinge herein? Die Entwickler von Windsurf müssen sich wirklich mal umsehen und die Sicherheit ihrer Software ernst nehmen. Ein paar Millionen Entwickler, das sind ja keine Minderheiten 
Das ist ja total verrückt! Ich hab's gehört, dass es schon seit März lagen, und noch niemand hat was dagegen unternommen. Ich bin nicht gerade ein Sicherheitsexpert, aber das klingt wie ein Total-Absturz zur Seite. 
Die Forscher sollten wirklich mal den Browser und das Electron-Framework aktualisieren, da ist es doch selbstverständlich! 
Aber ernsthaft, das ist ein großes Problem. Ich hoffe, die Entwickler von Windsurf und Cursor merken es bald und machen sich dann um die Aktualisierung kümmern. 
Es ist wichtig, dass solche Sicherheitslücken öffentlich bekannt werden, damit die Entwickler handeln können #Sicherheitsforscher #Hackerentdeckung
#Sicherheit #Entwickler