CVE-2026-40376: Alvorlig sårbarhed i Visual Studio Code
Sårbarhed i Visual Studio Code kan give angribere fuld kontrol over din computer via netværket – opdater straks til version 1.123.2.
Hvad er det?
Visual Studio Code er et populært programmeringsværktøj fra Microsoft, som mange udviklere og it-medarbejdere bruger dagligt. En fejl i programmet betyder, at det ikke tjekker brugerinput ordentligt (det vil sige data, der sendes til programmet). Det kan en angriber udnytte til at opnå flere rettigheder (adgang) på din computer end vedkommende burde have. Fejltypen hedder CWE-20 og kaldes ‘improper input validation’ – på dansk: mangelfuld validering af input. Alle versioner af Visual Studio Code fra 1.0.0 op til – men ikke inklusiv – version 1.123.2 er ramt.
Hvem rammer det?
Sårbarheden rammer virksomheder og enkeltpersoner, der bruger Visual Studio Code version 1.0.0 til og med 1.123.1. Det er særligt relevant, hvis dine udviklere, it-folk eller andre medarbejdere bruger programmet på arbejdscomputere med adgang til virksomhedens netværk. Da Visual Studio Code er meget udbredt – også i SMV’er – er der potentielt mange, der er i risikozonen.
Hvad kan ske?
En angriber kan over netværket udnytte fejlen til at eskalere sine rettigheder (privilege escalation), hvilket betyder, at vedkommende kan få administratoradgang til den computer, der kører Visual Studio Code. Med den adgang kan angriberen:
- Læse og stjæle følsomme filer og data (fortrolighed kompromitteret)
- Ændre, slette eller kryptere filer og systemer (integritet kompromitteret)
- Gøre computeren eller systemer utilgængelige for dig (tilgængelighed kompromitteret)
- Bevæge sig videre ind i resten af virksomhedens netværk
Angrebet kræver, at en bruger interagerer – for eksempel åbner en fil eller klikker et link – men kræver ikke, at angriberen har adgang til dit system i forvejen.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.5 ud af 10 og klassificeres som Alvorlig (High). Angrebet sker over netværket og kræver ikke, at angriberen er fysisk til stede eller har en konto på systemet. Der kræves dog brugerinteraktion og en vis teknisk kompleksitet for at gennemføre angrebet, hvilket sænker risikoen en smule sammenlignet med det absolutte maksimum. Konsekvenserne – fuld kontrol over systemets fortrolighed, integritet og tilgængelighed – er dog maksimale, hvis angrebet lykkes.
Hvad gør jeg nu?
Du bør opdatere Visual Studio Code hurtigst muligt. Sådan gør du:
- Identificér berørte installationer: Bed din it-ansvarlige om at kortlægge, hvilke medarbejdere der bruger Visual Studio Code, og hvilken version de kører. Tjek versionen via menuen Hjælp → Om i programmet.
- Opdatér til version 1.123.2 eller nyere: Åbn Visual Studio Code, gå til Hjælp → Søg efter opdateringer, og installér den nyeste version. Alternativt kan opdateringen hentes direkte fra code.visualstudio.com.
- Genstart programmet: Sørg for, at opdateringen træder i kraft ved at genstarte Visual Studio Code efter installation.
- Informér dine medarbejdere: Giv besked til alle, der bruger programmet, om at opdatere – også dem, der arbejder hjemmefra eller på bærbare computere uden for kontoret.
- Overvej midlertidig begrænsning: Hvis opdatering ikke kan ske straks, bør du overveje at begrænse brugen af Visual Studio Code til opdatering er gennemført, særligt på systemer med adgang til følsomme data.
Opdatér inden for 7 dage
Auroa anbefaler, at du prioriterer opdateringen af Visual Studio Code til version 1.123.2 på alle arbejdsstationer i din virksomhed – herunder hjemmearbejdspladser. Angrebet kræver brugerinteraktion, men da udviklere og it-folk dagligt åbner filer og klikker links som en naturlig del af arbejdet, er risikoen reel. Sørg desuden for, at automatisk opdatering er slået til i Visual Studio Code fremover, så lignende sårbarheder håndteres hurtigere.
Tidslinje
Konkrete eksempler
Ondsindet projektfil sendt via e-mail
En angriber sender en tilsyneladende harmløs kode-projektfil til en udvikler i din virksomhed. Når udvikleren åbner filen i Visual Studio Code, udnytter filen input-valideringsfejlen til at give angriberen administratorrettigheder på computeren. Angriberen kan nu læse fortrolige filer, installere bagdøre og bevæge sig videre i netværket.
Kompromitteret kode-repository (kodelager)
En angriber kompromitterer et offentligt eller privat kode-repository (f.eks. GitHub), som dine udviklere bruger. Når de henter koden ned og åbner den i Visual Studio Code, aktiveres den ondsindede input, der eskalerer angriberens rettigheder til administratorniveau. Det kan ske uden, at udvikleren bemærker noget usædvanligt.
Angreb via delt netværksdrev
En angriber, der allerede har begrænset adgang til virksomhedens netværk – for eksempel via en kompromitteret gæste-WiFi – placerer en ondsindet fil på et delt netværksdrev. Når en medarbejder åbner filen i Visual Studio Code, udnytter angrebet sårbarheden og giver angriberen fuld kontrol over medarbejderens computer og potentielt hele netværket.
Ofte stillede spørgsmål
Hvad er Visual Studio Code, og bruger vi det?
Visual Studio Code er et gratis programmeringsværktøj udviklet af Microsoft. Det bruges primært af udviklere og it-medarbejdere til at skrive og redigere kode. Spørg din it-ansvarlige, om programmet er installeret på computere i din virksomhed – det er meget udbredt og kan sagtens være installeret uden, at ledelsen er klar over det.
Skal vi bruge Visual Studio Code for at være i fare?
Ja – kun computere, hvor Visual Studio Code version 1.0.0 til 1.123.1 er installeret og i brug, er direkte berørt. Hvis ingen i din virksomhed bruger programmet, er I ikke i risikozonen for denne specifikke sårbarhed.
Kræver angrebet, at nogen klikker på noget?
Ja, angrebet kræver en form for brugerinteraktion – for eksempel at en medarbejder åbner en ondsindet fil eller klikker på et manipuleret link. Det reducerer risikoen en smule, men da udviklere og it-folk ofte åbner filer og links som en del af deres daglige arbejde, er det ikke en tilstrækkelig beskyttelse i sig selv.
Hvad sker der, hvis vi ikke opdaterer?
Hvis sårbarheden udnyttes, kan en angriber opnå fuld kontrol over den berørte computer – herunder adgang til alle filer, mulighed for at installere skadelig software og potentielt sprede sig til resten af virksomhedens netværk. Konsekvenserne kan inkludere datatyveri, ransomware-angreb og driftstab.
Hvordan ved jeg, hvilken version vi kører?
Åbn Visual Studio Code og gå til menuen Hjælp øverst, og vælg derefter Om Visual Studio Code. Her fremgår versionsnummeret tydeligt. Hvis nummeret er lavere end 1.123.2, skal du opdatere. Din it-ansvarlige kan også tjekke dette på tværs af alle computere i virksomheden ved hjælp af et systemstyringsværktøj.
Er det nok at slå automatisk opdatering til?
Automatisk opdatering er en god fremtidssikring, men det løser ikke nødvendigvis problemet her og nu. Tjek manuelt, at opdateringen til 1.123.2 faktisk er installeret og aktiv på alle relevante computere – også dem, der sjældent bruges eller bruges hjemmefra.
Ramte produkter
Microsoft — Visual Studio Code
≥ 1.0.0, < 1.123.2
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper input validation in Visual Studio Code allows an unauthorized attacker to elevate privileges over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
