微軟本周恢復了二月底被誤判為惡意程式的VS Code擴充程式,這二款受歡迎的擴充下載次數高達數百萬。
二月底,用戶發現VS Code擴充程式Material Theme及Material Theme Icons。被從VS Code軟體市集移除。這二款擴充程式是由Mattia Astorino(代號equinusocio)開發,下載次數高達900萬。
當時微軟VS軟體市集團隊成員解釋,社群中有成員對該款程式做了「深入的安全分析」,發現多項有惡意意圖的紅標警示而向其通報。微軟研究人員證實此事,而且發現更多可疑程式。因此微軟封鎖了程式出版商,並從所有含有該擴充程式的VS Code執行個體中移除。
研究人員是基於Material Theme程式中一個經混淆加密的檔案release-notes.js,被發現具程式執行能力。但是Material Theme的作者Astorino解釋,問題出在它 2016 年就使用至今的相依套件Sanity.io,該套件用於顯示來自 Sanity 無頭內容管理系統(headless CMS)的發行說明(release note)。Astorino解釋,Material Theme問題在於混淆過程時,不慎包含sanity.io SDK用戶端程式進去,而Material Theme Icon問題則是在關聯的index.js檔中加了個組建腳本(build script),但這個腳本失去了原先作用。兩個擴充程式實際上沒有包含任何惡意元件。
但Astorino說,微軟發現後並未聯繫他證實或要求其修正,而是認定他有惡意,並直接封鎖了他帳號,且下架6個(而不只2個)擴充程式,影響數百萬用戶。他並指控,微軟非但沒有主動聯繫,且完全封鎖他的電子郵件,使其無從聯繫微軟澄清此事,此舉造成對他的聲譽和用戶信任的損害。
微軟在更新聲明中正式道歉,指出Material Theme和Material Theme Icons出版商帳號被錯誤警示。但微軟強調,他們的初衷是為了保護用戶,他們已經盡力,只是作為人難免犯錯。微軟重申Material Theme和Material Theme Icons是安全的,現在已經重新上架VS Code軟體市集。
熱門新聞
2025-04-28
2025-04-28
2025-04-28
2025-04-28
2025-04-28
2025-04-28
2025-04-25