从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 日期:2024年9月11日 2. 标题:Wiz Visual Studio Code 扩展的安全更新 3. 摘要: - 2024年9月11日,Wiz 接到安全研究人员的通知,发现了一个影响 Wiz Visual Studio Code 扩展的漏洞。 - 该漏洞允许在特定条件下执行本地命令注入,前提是用户必须打开一个恶意构造的 Docker 图像文件,并从一个标记为“可信文件夹”的文件路径中执行 Visual Studio Code 的手动扫描。 - 这个问题仅影响使用 Wiz VS Code 扩展并与恶意构造的文件交互的用户。 4. 受影响的 Wiz 代码扩展版本: - Wiz(遗产版):版本 0.13.0 - 0.17.8 受影响,修复版本为 0.17.9 及更高版本。 - Wiz Code:版本 1.0.0 - 1.5.3 受影响,修复版本为 1.5.4 及更高版本。 5. 推荐行动: - 建议受影响的用户更新到上述修复版本。 - 作为升级前的临时解决方案,用户可以禁用扩展中的“pull”功能,以避免在扫描 Dockerfile 基础图像之前拉取图像。 6. 时间线: - 2024年9月11日 13:44:研究人员联系 Wiz 安全团队分享漏洞细节。 - 2024年9月11日 14:08:Wiz 工程团队验证问题并开始修复。 - 2024年9月11日 14:18:Wiz 安全团队通过电子邮件通知研究人员确认收到漏洞报告。 - 2024年9月11日 17:11:Wiz 工程团队发布修复版本到 VS Code 市场。 这些信息提供了关于漏洞的详细描述、受影响的版本、推荐的行动和时间线,帮助用户了解和应对这个问题。