CVE-2025-64660 - 安全更新指南 - Microsoft - GitHub Copilot 和 Visual Studio Code 远程代码执行漏洞
您需要启用JavaScript才能运行此应用。跳至主要内容 Microsoft MSRC 安全更新 致谢 反馈与支持 登录您的帐户 登录
我们使用可选Cookie来改善您在网站上的体验,例如通过社交媒体连接,并根据您的在线活动展示个性化广告。如果您拒绝可选Cookie,将仅使用提供给您服务所必需的Cookie。您可以通过点击页面底部的“管理Cookie”来更改您的选择。隐私声明 第三方Cookie
接受 拒绝 管理Cookie
MSRC MSRC 客户指南 客户指南 安全更新指南 安全更新指南 漏洞 漏洞 CVE-2025-64660 CVE-2025-64660 GitHub Copilot 和 Visual Studio Code 远程代码执行漏洞 新 最近更新 在此页面上 CVE-2025-64660 订阅 RSS PowerShell API CSAF 安全漏洞 发布日期: 2025年11月20日 最后更新: 2025年11月25日 分配 CNA Microsoft CVE.org 链接 CVE-2025-64660 影响 远程代码执行 最高严重性 重要 弱点 CWE-284: 不当的访问控制 CVSS 来源 Microsoft 向量字符串 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C 指标 CVSS:3.1 8.0 / 7.0 基本分数指标: 8.0 / 时间分数指标: 7.0 基本分数指标: 8.0 / 时间分数指标: 7.0 展开全部 折叠全部 指标 值 基本分数指标(8) 攻击向量 此指标反映了漏洞利用可能发生的上下文。攻击者在逻辑上和物理上越远离,基本分数就越高。 网络 易受攻击的组件绑定到网络堆栈,可能的攻击者范围超出列出的其他选项,直至并包括整个互联网。这种漏洞通常被称为“可远程利用”,可以认为攻击在一个或多个网络跃点(例如,跨越一个或多个路由器)的协议级别上可利用。 攻击复杂性 此指标描述了攻击者控制之外必须存在的、以便利用漏洞的条件。此类条件可能需要收集更多关于目标的信息或计算例外情况。对此指标的评估排除了利用漏洞所需的任何用户交互要求。如果攻击成功需要特定配置,则应在假定易受攻击组件处于该配置的情况下对基本指标进行评分。 低 不存在专门的访问条件或可减轻的情况。攻击者可以预期对易受攻击的组件重复获得成功。 所需权限 此指标描述了攻击者在成功利用漏洞之前必须拥有的权限级别。 低 攻击者拥有提供基本用户能力的授权权限,这些能力通常只影响用户拥有的设置和文件。或者,拥有低权限的攻击者可能仅能够对非敏感资源造成影响。 用户交互 此指标捕获了除攻击者之外的、用户参与成功危害易受攻击组件的需求。此指标决定了漏洞是仅凭攻击者的意志就可利用,还是需要单独的用户(或用户启动的进程)以某种方式参与。 必需 成功利用此漏洞需要用户在漏洞被利用之前采取某些操作。 范围 成功的攻击是否影响易受攻击组件之外的组件?如果是,则基本分数增加,并且应将机密性、完整性和身份验证指标相对于受影响组件进行评分。 未更改 被利用的漏洞只能影响由同一安全机构管理的资源。在这种情况下,易受攻击的组件和受影响的组件要么相同,要么都由同一安全机构管理。 机密性 此指标衡量由于成功利用的漏洞而对软件组件管理的信息资源的机密性造成的影响。机密性是指将信息访问和披露限制在授权用户,并防止未经授权的访问或披露。 高 存在完全的机密性丧失,导致受影响组件内的所有资源都被泄露给攻击者。或者,仅获得对某些受限信息的访问,但所披露的信息会产生直接、严重的影响。 完整性 此指标衡量成功利用的漏洞对完整性的影响。完整性指信息的可信度和真实性。 高 存在完全的完整性丧失,或完全的保护丧失。例如,攻击者能够修改受影响组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改会对受影响组件产生直接、严重的后果。 可用性 此指标衡量由于成功利用的漏洞而对受影响组件的可用性造成的影响。它指的是受影响组件本身的可用性丧失,例如网络服务(例如,Web、数据库、电子邮件)。由于可用性指的是信息资源的可访问性,消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。 高 存在完全的可用性丧失,导致攻击者能够完全拒绝对受影响组件中资源的访问;这种丧失要么是持续的(在攻击者继续发起攻击时),要么是持久的(攻击完成后情况仍持续存在)。或者,攻击者有能力拒绝某些可用性,但可用性的丧失对受影响组件产生直接、严重的后果(例如,攻击者无法中断现有连接,但可以阻止新连接;攻击者可以重复利用一个漏洞,每次成功攻击实例只泄漏少量内存,但重复利用后导致服务完全不可用)。 时间分数指标(3) 漏洞利用代码成熟度 此指标衡量漏洞被攻击的可能性,通常基于漏洞利用技术的当前状态、漏洞利用代码的公开可用性或活跃的“野外”利用。 未经验证 没有公开可用的漏洞利用代码,或者漏洞利用是理论性的。 修复级别 漏洞的修复级别是确定优先级的重要因素。典型的漏洞在最初发布时未打补丁。变通方案或热修复可能在官方补丁或升级发布之前提供临时修复。每个相应的阶段都会向下调整时间分数,反映出随着修复最终完成而降低的紧迫性。 官方修复 完整的供应商解决方案可用。供应商已发布官方补丁,或者有升级可用。 报告可信度 此指标衡量漏洞存在的可信度以及已知技术细节的可信度。有时仅公开漏洞的存在,但没有具体细节。例如,可能认识到影响是不可取的,但根本原因可能未知。该漏洞后来可能通过暗示漏洞可能所在位置的研究得到证实,尽管研究可能不确定。最后,漏洞可能通过受影响技术的作者或供应商的确认而得到确认。当确切知道漏洞存在时,漏洞的紧迫性更高。此指标也表明了潜在攻击者可用的技术水平。 已确认 存在详细报告,或者可以进行功能性复现(功能性漏洞利用可能提供这一点)。可获取源代码以独立验证研究的断言,或者受影响代码的作者或供应商已确认存在该漏洞。
请参阅通用漏洞评分系统以获取有关这些指标定义的更多信息。
执行摘要 GitHub Copilot 和 Visual Studio Code 中的不当访问控制允许授权的攻击者通过网络执行代码。
可利用性 下表提供了此漏洞在最初发布时的可利用性评估。 公开披露 否 已被利用 否 可利用性评估 利用可能性较低
常见问题解答 根据CVSS指标,需要权限(PR:L)并且需要用户交互(UI:R)。攻击者如何利用此远程代码执行漏洞? 经过身份验证的攻击者可以将恶意文件放入目标代码仓库中。然后用户必须在Visual Studio Code中信任该文件并向GitHub Copilot请求帮助。
致谢 AmeenBasha M K Tarek Nakkouch Ari Marzuk 𝕏 @ari_maccarita with https://maccarita.com/
Microsoft 感谢安全社区中通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息,请参阅致谢。
安全更新 要确定您的软件的支持生命周期,请参阅 Microsoft 支持生命周期。 发布日期 降序 编辑列 下载 筛选器 产品系列 最高严重性 影响 平台 清除 发布日期 产品 平台 影响 最高严重性 文章 下载 内部版本号 标题:发布日期, 内容: 2025年11月20日 Visual Studio Code - 远程代码执行 重要 标题:Visual Studio Code 的知识库文章, 内容:, 1 条链接 发行说明 标题:下载 Visual Studio Code 的安全更新, 内容:, 1 条链接 安全更新 标题:内部版本号, 内容: 1.106.2 所有结果已加载 已加载全部 1 行
免责声明 Microsoft 知识库中提供的信息“按原样”提供,不附带任何种类的担保。Microsoft 否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation 或其供应商均不对任何损害承担任何责任,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知发生此类损害的可能性。某些州不允许排除或限制对附带或间接损害的责任,因此上述限制可能不适用。
修订 版本 修订日期 描述 1.1 2025年11月25日 进行了以下修订: 1) 在安全更新表中,将影响条目更正为远程代码执行。 2) CVSS分数已更新。这些仅为信息性更改。已成功安装更新的客户无需采取任何进一步措施。 1.0 2025年11月20日 信息发布。 您对 MSRC 安全更新指南的满意程度如何? 评分 糟糕 差 低于平均 平均 很好!