対象範囲: AWS コンテンツタイプ: 重要(要注意) 公開日: 2025年7月23日 午後6時(太平洋夏時間) 更新日: 2025年7月25日 午後6時(太平洋夏時間)
説明
Amazon Q Developer for Visual Studio Code (VS Code) 拡張機能は、Amazon Q の AI を活用したコーディング支援機能を VS Code 統合開発環境 (IDE) に直接統合する開発ツールです。
AWS は、Amazon Q Developer for VS Code 拡張機能における CVE-2025-8217 として割り当てられている問題を認識し、対処しました。
AWS-2025-016 の調査中に、Amazon Q Developer for VS Code Extension の CodeBuild 設定において、スコープが不適切な GitHub トークンが使用され��ていたことが判明しました。このアクセストークンを使用することで、脅威の攻撃者は、リリースに自動的に含まれる拡張機能のオープンソースリポジトリに悪意のあるコードをコミットすることができました。このことが判明した後、AWS は直ちに認証情報を失効させて置き換え、コードベースから悪意のあるコードを削除し、その後 Amazon Q Developer for VS Code Extension バージョン 1.85.0 をリリースしました。
AWS セキュリティはコードを検査し、悪意のあるコードが拡張機能とともに配布されたものの、構文エラーのために実行に失敗したことを確認しました。これにより、悪意のあるコードがサービスやお客様の環境に変更を加えることは阻止されました。
追加情報が判明次第、このセキュリティ情報を更新いたします。
影響を受けるバージョン:
Amazon Q Developer for Visual Studio Code 拡張機能 (バージョン 1.84.0)
解決策:
AWS は、AWS システムのセキュリティを確保するために必要なすべての緩和策を講じ、Amazon Q Developer for Visual Studio Code 拡張機能 バージョン 1.85.0 をリリースしました。これには、1.84.0 を配布チャネルから削除し、今後お客様がインストールできないようにすることが含まれます。悪意のあるコードは実行されませんが、既存の 1.84.0 インストールには依然として存在します。そのため、1.84.0 のインストールはすべて使用を停止し、フォークコピーや派生コピーも含め、1.85.0 にアップデートする必要があります。
Amazon Q Developer for VS Code 拡張機能を更新するには:
- Visual Studio Code を開きます。
- 拡張機能パネルに移動します。
- Amazon Q Developer を見つけます。
- 更新ボタンをクリックします。
バージョン 1.84.0 については、以下のハッシュを参照してください。
- sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
参考資料:
セキュリティに関するご質問やご懸念事項がございましたら、aws-security@amazon.com までメールでお問い合わせください。