TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Cursor、Windsurf IDEに94件以上の既知のChromium脆弱性が存在

Image

最新リリースのCursorおよびWindsurf統合開発環境は、ChromiumブラウザおよびV8 JavaScriptエンジンにおける94件以上の既知かつ修正済みのセキュリティ問題に対して脆弱です。

これら2つのIDEのユーザー数である推定180万人の開発者がリスクにさらされています。

Ox Securityの研究者によると、両開発環境はオープンソースのChromiumブラウザおよびGoogleのV8エンジンの古いバージョンを含む、古いソフトウェア上に構築されています。

CursorとWindsurfは、Web技術(HTML、CSS、JavaScript)を使ったクロスプラットフォームアプリ構築のためのElectronフレームワークの古いリリースを含む、古いVS Codeバージョンに依存しているといいます。

「ElectronはChromiumとV8を組み込んでいるため、IDEは古いChromiumおよびV8エンジンに依存しており、新しいバージョンで既に修正されている脆弱性にさらされることになります」と研究者はレポートでBleepingComputerに共有しています。

研究者によると、CursorとWindsurfは使用しているChromiumビルドに存在する少なくとも94件の脆弱性に対して脆弱です。

このセキュリティ問題は2023年10月12日から責任を持って開示されているにもかかわらず、Cursorはレポートを「対象外」と見なしており、Windsurfは回答していないため、リスクは依然として存在しています。

Image
古いElectronアプリからのn-day継承
出典: Ox Security

IDE上のChromeリスク

CursorとWindsurfはVisual Studio CodeをベースにしたAI搭載のコードエディタです。これらは大規模言語モデル(LLM)を統合し、開発者がより簡単かつ迅速にソフトウェアを書くのを支援します。

これらはElectronアプリとして配布されており、特定のChromiumビルドをWebコンテンツのレンダリング用にパッケージし、ブラウザのV8 JavaScriptエンジンをバイナリに含んでいます。

特定のElectronリリースはChromium+V8のバージョンを固定しており、ベンダーがアップグレードしない限り、その後のリリースで修正された脆弱性がIDEで悪用可能なリスクとなります。

Ox Securityは、CVE-2025-7656で説明されているMaglev JIT整数オーバーフローをdeeplink経由で悪用できることを実証しました。これによりCursorが実行され、ブラウザにエクスプロイトペイロードをホストするリモートURLを訪問するよう指示するプロンプトが注入されます。

リモートページはCVE-2025-7656の悪用を引き起こすJavaScriptを提供し、レンダラーをクラッシュさせることでサービス拒否(DoS)を引き起こします。

Ox SecurityのNir Zadok氏とMoshe Siman Tov Bustan氏は、Google ChromeのV8エンジンにおける整数オーバーフロー脆弱性CVE-2025-76562025年7月15日に修正)のエクスプロイトをCursor IDEに対して実証しました。

概念実証のエクスプロイトは、下記の動画の通り、Cursorをサービス拒否状態(クラッシュ)に陥らせました。

しかし、Ox Securityは実際の攻撃では任意コード実行も可能であると指摘しています。

攻撃者は脆弱性を引き起こすための複数の選択肢を持ちます。研究者によると、攻撃者は悪意のある拡張機能を使ってエクスプロイトを発動したり、ドキュメントやチュートリアルにエクスプロイトコードを注入することができます。

ハッカーはまた、従来型のフィッシング攻撃や、IDEでプレビューされるREADMEファイルに悪意のあるコードを仕込むことで、汚染されたリポジトリを利用することも可能です。

Image
攻撃の概要
出典: Ox Security

Ox Securityは、このエクスプロイトは最新のVS Codeでは動作しないことに言及しています。VS Codeは定期的にアップデートされ、既知のバグにすべて対応しています。

概念実証のエクスプロイトを受け取った際、Cursorは「自己誘発型DoSは対象外」としてレポートを却下しました。

しかし研究者は、この姿勢はメモリ破損プリミティブを含むより深刻な悪用可能性や、Electronアプリに存在する未修正CVEの広範なセットを無視していると指摘しました。

「2025年3月21日にバージョン0.47.9でChromium 132.0.6834.210にアップデートして以来、少なくとも94件の既知CVEが公開されています。私たちはそのうち1件だけを武器化しました。攻撃対象領域は非常に広大です」とOx Securityは説明しています。

BleepingComputerは、Ox SecurityのレポートについてCursorとWindsurfの両社にコメントを求めましたが、記事公開時点までに回答は得られていません。

翻訳元: https://www.bleepingcomputer.com/news/security/cursor-windsurf-ides-riddled-with-94-plus-n-day-chromium-vulnerabilities/

ソース: bleepingcomputer.com
#Case Management/Electronic Case Files #Chromium Browsers #Cursor IDE #CVE-2025-7656 #Cybersecurity Vulnerabilities #Integrated Development Environment #OX Security #Software Supply Chain #V8 JavaScript Engine #Windsurf IDE

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用