Auf den Punkt: VSCode verzögert Erweiterungs-Updates automatisch um zwei Stunden nach Veröffentlichung, um die Ausbreitungszeit von kompromittierten Versionen zu minimieren.
Microsoft führt in Visual Studio Code 1.123 eine standardmäßige Verzögerung von zwei Stunden für automatische Extension-Updates ein, um Supply-Chain-Angriffe zu erschweren und ein Erkennungsfenster für kompromittierte Pakete zu schaffen.
Microsoft implementiert mit VSCode 1.123 einen sicherheitsgesteuerten Update-Mechanismus: Wenn Nutzer automatische Updates für Erweiterungen aktiviert haben, wird deren Installation standardmäßig zwei Stunden nach der Veröffentlichung verzögert. Diese künstliche Abkühlphase schafft ein Zeitfenster, in dem Sicherheitsanalysten und Plattformbetreiber kompromittierte Versionen erkennen und aus den Registern entfernen können, bevor sie massiv verbreitet werden.
Anwender behalten vollständige Kontrolle: Über eine Schaltfläche lassen sich Updates jederzeit sofort einspielen, ohne auf die zwei Stunden zu warten. In der Detail-Ansicht wird die Verzögerung samt geplanter Installationszeit transparent angezeigt. Allerdings gilt diese Schutzmaßnahme nicht für Erweiterungen vertrauenswürdiger Herausgeber – Microsoft, GitHub und OpenAI als zertifizierte Partner erhalten Updates ohne Verzögerung.
Diese Strategie ist Teil einer breiteren Bewegung in der Entwickler-Infrastruktur: RubyGems integrierte kurz zuvor eine Cooldown-Funktion in Bundler 4.0.13. Weitere Package Manager setzen bereits auf ähnliche Mindestalter-Schwellenwerte – npm (ab 11.10.0), pnpm (ab 10.16), Bun (ab 1.3) und Yarn (ab Berry 4.10.0) bieten alle Konfigurationsoptionen zur zeitlichen Verzögerung von Paketinstallationen an.
Der Hintergrund dieser koordinierten Abwehr ist eine steigende Flut von Supply-Chain-Vorfällen, bei denen Angreifer Entwicklerkonten übernehmen oder Systeme infiltrieren, um Schadcode in vertrauenswürdige Pakete einzuschleusen. Das künstliche Zeitfenster minimiert das Risiko, dass eine kompromittierte Version längere Zeit unentdeckt unter Zehntausenden Installationen zirkuliert, bevor die Sicherheitsanalyse sie als bösartig klassifiziert.
Quelle: www.it-daily.net · Erschienen 9. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.