Amazon Q Developer for Visual Studio Code Extension のセキュリティ更新 (バージョン #1.84)
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 7 月 23 日 午後 6 時 (PDT)
最終更新日: 2025 年 7 月 25 日 午後 6 時 (PDT)
説明:
Amazon Q Developer for Visual Studio Code (VS Code) Extension は、Amazon Q の AI を活用したコーディング支援を VS Code 統合開発環境 (IDE) に直接統合する開発ツールです。
AWS は、Amazon Q Developer for VS Code Extension の問題を認識し、対処しました。この問題は、CVE-2025-8217 に割り当てられています。
AWS-2025-016 の調査中に、Amazon Q Developer for VS Code Extension の CodeBuild 設定に、不適切なスコープが設定された GitHub トークンが含まれていることが判明しました。このアクセストークンを使用することで、脅威アクターは、リリースに自動的に含まれる拡張機能のオープンソースリポジトリに悪意のあるコードをコミットすることができました。当社は、この脆弱性を特定した後、直ちに認証情報を失効させて置き換え、コードベースから悪意のあるコードを削除し、その後、Amazon Q Developer for VS Code Extension バージョン 1.85.0 をリリースしました。
AWS Security はコードを検査し、悪意のあるコードは拡張機能とともに配布されたものの、構文エラーのために実行に失敗したと判断しました。これにより、悪意のあるコードがサービスやお客様の環境に変更を加えることが阻止されました。
この速報は、共有すべき追加情報がある場合に更新されます。
影響を受けるバージョン:
Amazon Q Developer for Visual Studio Code Extension (バージョン 1.84.0)
解決方法:
AWS は、AWS システムのセキュリティを確保するために必要なすべての緩和策を講じ、Amazon Q Developer for VS Code Extension バージョン 1.85.0 をリリースしました。これには、1.84.0 を配布チャネルから削除し、これ以上のお客様がインストールできないようにすることが含まれます。悪意のあるコードは実行できませんが、既存の 1.84.0 のインストールには悪意のあるコードが依然として存在しています。そのため、1.84.0 のすべてのインストールは使用されないよう削除し、お客様は 1.85.0 にアップデートする必要があります (フォークまたは派生コピーを含む)。
Amazon Q Developer for VS Code Extension を更新するには:
- Visual Studio Code を開きます
- 拡張機能パネルに移動します
- Amazon Q Developer を見つけます
- [更新] ボタンをクリックします
バージョン 1.84.0 については、次のハッシュを参照してください。
- sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。