Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 23.07.2025, 13:00 Uhr PDT
Aktualisiert am: 25.07.2025, 13:00 PDT

Beschreibung:

Die Erweiterung Amazon Q Developer für Visual Studio Code (VS Code) ist ein Entwicklungstool, das die KI-gestützte Codierungshilfe von Amazon Q direkt in die integrierte Entwicklungsumgebung (IDE) VS Code integriert.

AWS ist sich eines Problems in der Erweiterung Amazon Q Developer für VS Code bewusst und hat dieses behoben. Dieses Problem ist CVE-2025-8217 zugeordnet.

Im Zuge unserer Untersuchung von AWS-2025-016 haben wir festgestellt, dass die Erweiterung Amazon Q Developer für VS Code über ein GitHub-Token mit unangemessenem Geltungsbereich in der CodeBuild-Konfiguration verfügt. Mit diesem Zugriffstoken konnte der Bedrohungsakteur bösartigen Code in das Open-Source-Repository der Erweiterung einspeisen, der automatisch in eine Version aufgenommen wurde. Nachdem wir dies festgestellt hatten, haben wir die Anmeldeinformationen sofort widerrufen und ersetzt, den bösartigen Code aus der Codebasis entfernt und anschließend die Version 1.85.0 der Erweiterung Amazon Q Developer für VS Code veröffentlicht.

AWS Security hat den Code untersucht und festgestellt, dass der bösartige Code mit der Erweiterung verteilt wurde, aber aufgrund eines Syntaxfehlers nicht ausgeführt werden konnte. Dadurch wurde verhindert, dass der bösartige Code Änderungen an Diensten oder Kundenumgebungen vornehmen konnte.

Sobald wir weitere Informationen haben, aktualisieren wir dieses Bulletin.

Betroffene Versionen:

Erweiterung Amazon Q Developer für Visual Studio Code (Version 1.84.0)

Lösung:

AWS hat alle notwendigen Maßnahmen ergriffen, um AWS-Systeme zu sichern und hat Version 1.85.0 der Erweiterung Amazon Q Developer für VS Code veröffentlicht. Dazu gehört auch die Entfernung der Version 1.84.0 aus den Vertriebswegen, damit keine weiteren Kunden sie installieren können. Der bösartige Code ist zwar nicht ausführbar, aber er ist in bestehenden Installationen von 1.84.0 noch vorhanden. Aus diesem Grund sollten alle Installationen von 1.84.0 entfernt werden und die Kunden sollten auf 1.85.0 aktualisieren, einschließlich aller verzweigten oder abgeleiteten Kopien.

So aktualisieren Sie Ihre Erweiterung Amazon Q Developer für VS Code:

• Öffnen Sie Visual Studio Code
• Navigieren Sie zum Menü Erweiterungen
• Finden Sie Amazon Q Developer
• Klicken Sie auf die Schaltfläche Aktualisieren

Bitte beachten Sie den folgenden Hash für Version 1.84.0:

• sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
  

Verweise:

• https://github.com/aws/aws-toolkit-vscode
• CVE-2025-8217
• GHSA-7g7f-ff96-5gcw
• AWS-2025-016

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.