피드로 돌아가기
Security Researcher Discloses VS Code Zero-Day After Microsoft Disclosure Process Breakdown
Dev.toDev.to
Security

VS Code RCE 취약점 공개로 드러난 Vendor Disclosure 프로세스의 붕괴와 신뢰 위기

Security Researcher Discloses VS Code Zero-Day After Microsoft Disclosure Process Breakdown

Olga Larionova2026년 6월 4일12intermediate

Context

VS Code의 Workspace Trust 설정 처리 로직 내 결함으로 인한 Remote Code Execution(RCE) 취약점 발생. 보안 연구자와 Microsoft 간의 조율된 취약점 공개(Coordinated Disclosure) 프로세스가 소통 부재와 불투명한 처리 과정으로 인해 작동 불능 상태에 빠진 상황.

Technical Solution

  • Workspace Trust 설정의 논리적 허점을 이용한 임의 코드 실행 경로 차단 설계 필요
  • 24시간 이내 Acknowledgment 정책 도입을 통한 정보 비대칭성 해소 및 신속한 대응 체계 구축
  • Triage부터 Patch 배포까지의 전 과정에 대해 강제성 있는 Time-bound 커뮤니케이션 프로토콜 수립
  • 공개 검증 가능한 Patch Deployment 타임라인 지표 도입을 통한 프로세스 투명성 확보
  • 자동화된 상태 업데이트 포털 구축을 통한 연구자-벤더 간 커뮤니케이션 마찰 최소화

1. 보안 취약점 제보 시 응답 시간(SLA)을 명시하고 준수 여부를 공개하고 있는가?

2. 외부 연구자가 패치 진행 상황을 실시간으로 확인할 수 있는 투명한 트래킹 시스템을 갖추었는가?

3. 단순 패치 적용을 넘어 RCE 가능성을 원천 차단하는 입력값 검증 및 메모리 보호 설계가 반영되었는가?

4. 취약점 공개 전 연구자와의 합의된 타임라인을 준수하여 Exploitation Window를 최소화하고 있는가?

원문 읽기