🛡 概要
CursorとWindsurfという2つの統合開発環境(IDE)は、ChromiumブラウザおよびV8 JavaScriptエンジンに存在する94件以上の既知の脆弱性にさらされています。これらのIDEは合計で約180万人の開発者によって使用されており、セキュリティリスクが高まっています。Ox Securityの研究者によると、これらの開発環境は古いソフトウェアに依存しており、古いバージョンのChromiumとV8エンジンを含んでいます。特に、CursorとWindsurfは、Electronフレームワークを使用して開発され、VS Codeの古いバージョンを基にしています。このため、既に修正された脆弱性に対しても無防備な状態が続いています。
🔍 技術詳細
CursorとWindsurfは、Visual Studio Codeから派生したAI駆動のコードエディタであり、Electronアプリとして配布されています。Electronは特定のChromiumビルドをパッケージ化し、V8エンジンをバイナリに含むアプリケーションランタイムです。具体的なElectronリリースは特定のChromiumおよびV8のバージョンを固定しており、ベンダーがこれを更新しない限り、後続のリリースで修正されたすべての欠陥がIDEにおける脅威となります。Ox Securityは、CVE-2025-7656に関連する整数オーバーフローの脆弱性を利用する方法を示しており、悪意のあるURLに誘導することでCursorをクラッシュさせることが可能です。この脆弱性は2023年7月15日に修正されたもので、具体的な攻撃手法としては、悪意のある拡張機能やドキュメント内の悪意のあるコードが考えられます。
⚠ 影響
CursorとWindsurfが抱える脆弱性は、開発者にとって深刻なリスクをもたらします。特に、CVE-2025-7656を利用した攻撃が成功した場合、サービス拒否(DoS)状態に陥る可能性があります。さらに、Ox Securityは、この脆弱性を悪用して任意のコード実行が可能であることも指摘しています。攻撃者は、悪意のある拡張機能を使用したり、READMEファイルに悪意のあるコードを埋め込むことで、この脆弱性を引き起こすことができます。特に、古いElectronアプリに由来する94件以上の未修正のCVEが存在するため、攻撃者にとって魅力的な標的となるでしょう。
🛠 対策
CursorとWindsurfのユーザーは、まずIDEを最新の状態に保つことが重要です。特に、ElectronやChromiumの最新バージョンがリリースされるたびに、迅速にアップデートを行うことが推奨されます。また、開発環境における拡張機能のインストールには慎重を期し、信頼できるソースからのもののみを使用することが重要です。さらに、ドキュメントやチュートリアルに埋め込まれた悪意のあるコードに対しても警戒が必要です。最後に、ユーザーは常にセキュリティ関連の情報を収集し、必要に応じてセキュリティパッチを適用することが求められます。
