Pesquisadores de segurança alertaram sobre uma falha “facilmente explorável” no instalador do Microsoft Visual Studio que pode ser usada por um ator mal-intencionado para se passar por um editor legítimo e distribuir extensões maliciosas.

A vulnerabilidade, rastreada como CVE-2023-28299, foi corrigida pela Microsoft como parte de suas atualizações do Patch Tuesday de abril de 2023, descrevendo-a como uma falha de falsificação.

Especificamente, o bug ignora uma restrição que impede os usuários de inserir informações na propriedade de extensão “nome do produto” abrindo um pacote do Visual Studio Extension ( VSIX ) como um arquivo .ZIP e, em seguida, adicionando manualmente caracteres de nova linha à marca “DisplayName” no arquivo “extension.vsixmanifest”.

Ao introduzir caracteres de nova linha suficientes no arquivo vsixmanifest e adicionar texto falso de “Assinatura Digital”, descobriu-se que os avisos sobre a extensão não ser assinada digitalmente poderiam ser facilmente suprimidos, enganando assim um desenvolvedor para instalá-lo.