İmleç ve Rüzgar Sörfü entegre geliştirme ortamlarının en son sürümleri, Chromium tarayıcısında ve V8 JavaScript motorunda bilinen ve yamalı 94’ten fazla güvenlik sorununa karşı savunmasızdır.
İki IDE’nin kullanıcı tabanı olan tahmini 1,8 milyon geliştiricinin risklere maruz kaldığı tahmin ediliyor.
Ox Security araştırmacıları, her iki geliştirme ortamının da açık kaynaklı Chromium tarayıcısının ve Google’ın V8 motorunun eski sürümlerini içeren eski yazılımlar üzerine kurulduğunu açıklıyor.
Cursor ve Windsurf’ün, web teknolojilerini (HTML, CSS, JavaScript) kullanarak platformlar arası uygulamalar oluşturmak için Electron çerçevesinin eski sürümlerini içeren VS Code’un eski sürümlerine güvendiğini söylüyorlar.
Araştırmacılar, BleepingComputer ile paylaşılan bir raporda, “Electron, Chromium ve V8’i yerleştirdiğinden, bu, IDE’lerin eski Chromium ve V8 motorlarına bağlı olduğu ve onları daha yeni sürümlerde zaten yamalanmış olan güvenlik açıklarına maruz bıraktığı anlamına geliyor” diyor.
Araştırmacılar, Cursor ve Windsurf’ün kullandıkları Chromium yapılarında bulunan en az 94 güvenlik açığına karşı savunmasız olduğunu söylüyor.
Güvenlik sorununun 12 Ekim’den bu yana sorumlu bir şekilde açıklanmasına rağmen, Cursor’un raporu “kapsam dışı” olarak değerlendirmesi ve Windsurf’ün yanıt vermemesi nedeniyle riskler hala mevcut.
.jpg)
Kaynak: Ox Güvenliği
IDE’de Chrome riskleri
İmleç ve Windsurf, Visual Studio Code’dan çatallanan yapay zeka destekli kod düzenleyicilerdir. Geliştiricilerin yazılımı daha kolay ve hızlı yazmasına yardımcı olmak için geniş dil modellerini (LLM’ler) entegre ederler.
Bunlar, Electron uygulamaları olarak dağıtılır; bu, web içeriğini oluşturmak için belirli bir Chromium yapısını paketleyen ve tarayıcının V8 JavaScript motorunu ikili dosyaya dahil eden bir uygulama çalışma zamanı anlamına gelir.
Belirli Electron sürümü, Chromium + V8 sürümünü sabitler ve satıcı bunu yükseltmezse, sonraki her sürümde düzeltilen kusurlar, IDE’de istismar edilebilir riskler haline gelir.
Ox Security, CVE-2025-7656’da açıklanan Maglev JIT tamsayı taşmasından, İmleci çalıştıran ve tarayıcısına bir istismar yükünü barındıran uzak bir URL’yi ziyaret etmesi talimatını veren bir istem enjekte eden bir derin bağlantı yoluyla yararlanmanın mümkün olduğunu gösterdi.
Uzak sayfa, CVE-2025-7656 istismarını tetikleyen ve oluşturucunun çökmesine neden olarak hizmet reddine neden olan JavaScript’i sunuyor.
Ox Security’den Nir Zadok ve Moshe Siman Tov Bustan, Google Chrome’un V8 motorunda 15 Temmuz’da düzeltilen bir tamsayı taşması güvenlik açığı olan CVE-2025-7656’ya yönelik bir istismarla Cursor IDE’yi hedef alarak bulgularını gösterdi.
Kavram kanıtı istismarı, aşağıdaki videoda gösterildiği gibi İmleç’in hizmet reddi durumuna (çökme) girmesine neden oldu:
Ancak Ox Security, gerçek dünyadaki saldırılarda keyfi kod çalıştırmanın da mümkün olduğunu belirtiyor.
Bir saldırganın güvenlik açığını tetiklemek için birden fazla seçeneği olacaktır. Araştırmacılar, bir saldırganın istismarı tetiklemek için kötü amaçlı bir uzantı kullanabileceğini veya istismar kodunu belgelere ve eğitimlere enjekte edebileceğini söylüyor.
Bilgisayar korsanları ayrıca klasik kimlik avı saldırılarına da güvenebilir veya IDE’de önizlenen README dosyalarına kötü amaçlı kod yerleştirerek zehirli depolardan yararlanabilirler.
.jpg)
Kaynak: Ox Güvenliği
Ox Security, bu istismarın düzenli olarak güncellenen ve bilinen tüm hataları gideren en son VS Kodunda çalışmadığını belirtiyor.
Kavram kanıtı istismarını aldıktan sonra Cursor, kendi kendine yapılan DoS’un kapsam dışı olduğunu söyleyerek raporu reddetti.
Ancak araştırmacılar, bu duruşun, hafıza bozulması ilkelleri ve hatta kullanılan Electron uygulamalarındaki daha geniş yamalanmamış CVE kümesi dahil olmak üzere kusurun daha ciddi istismar potansiyelini göz ardı ettiğini belirtti.
Ox Security, “2025-03-21 tarihinde 0.47.9 sürümü için yaptıkları son Chromium güncellemesinden bu yana, Chromium 132.0.6834.210’un çıkmasından bu yana, bilinen en az 94 CVE yayınlandı. Yalnızca birini silah haline getirdik. Saldırı yüzeyi çok büyük” diye açıklıyor.
BleepingComputer, Ox Security’nin raporu hakkında yorum istemek için hem Cursor hem de Windsurf ile iletişime geçti, ancak yayınlanma tarihine kadar herhangi bir yanıt alamadık.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.