VS Code 1.72.1 、1.72.2 已发布,这是 1.72 版本的修复更新,解决了该版本的一些安全问题和 bug 。
1.72.1 解决了一些安全和漏洞:
- 检查根目录时,规范化 webview 资源 #163326
VS Code 1.71 及更早版本中存在信息泄露漏洞。如果攻击者能够在 webview 中运行任意脚本(由扩展程序或核心 VS Code 创建),则攻击者可以绕过本地资源根检查来读取用户系统上的任意文件
- 在 notebooks 中禁止命令 uris #163321
VS Code 1.71 及更早版本中存在一个针对恶意 notebooks 的远程执行代码漏洞,这些 notebooks 可以使用命令 uris 来执行任意命令,包括潜在危险的命令。
- 以 ['ui','workspace', 'web'] 类型的格式,在 web 和远程安装的扩展程序显示重新加载按钮 #162502
- 提供 vscode 使用的所有依赖项的传递闭包 #161660
1.72.1 milestone
1.72.2 解决了以下问题:
- 不在 web 中缓存活动栏图标(url) #163317
- 扩展同步功能在 vscode 服务器 web 中不起作用 #163005
- 合并编辑器时,使用错误的换行符保存文件 #162999
- 解决合并冲突后,禁用提交按钮 #162927
1.72.2 milestone