Cursor ve Windsurf geliştirici ortamlarında yapılan son analiz, bu iki platformun güncel Chromium tarayıcı motoru ve V8 JavaScript bileşenlerinde giderilmiş 94’ten fazla güvenlik açığına karşı savunmasız olduğunu ortaya koydu. Yaklaşık 1.8 milyon geliştiricinin kullandığı bu araçlar eski yazılım bileşenlerine dayanıyor.
Eski Chromium ve V8 Motorları Güvenlik Açığı Oluşturdu
Ox Security araştırmacıları, Cursor ve Windsurf’un Visual Studio Code’un eski sürümleri üzerine inşa edildiğini ve bu sürümlerin güncel olmayan Electron çerçevesini içerdiğini belirtti. Electron yapısı, gömülü Chromium ve V8 motorlarını barındırıyor. Bu durum, her iki geliştirici ortamının da uzun süredir güncellenmeyen bileşenler üzerinde çalışmasına neden oldu.
Araştırmacılar, her iki platformun kullandığı Chromium sürümlerinde en az 94 bilinen zafiyet bulunduğunu ifade etti. Bu açıklar, saldırganların sistemde komut çalıştırmasına, belleği manipüle etmesine veya uzaktan kod yürütmesine imkân tanıyabilir.
Eski Electron uygulamalarından gün devralma
Ox Security ekibi, bulgularını 12 Ekim’de yetkililere bildirdi. Ancak Cursor yönetimi raporu “kapsam dışı” olarak değerlendirdi. Windsurf tarafı ise güvenlik uyarısına yanıt vermedi. Bu sessizlik, geliştirici topluluğu içinde endişe yarattı.
Cursor ve Windsurf, Electron tabanlı uygulamalar olduğu için belirli bir Chromium sürümüne bağlı şekilde çalışıyor. Elektron yapısında güncelleme yapılmadığında, Chromium’da sonradan giderilen hatalar bu uygulamalarda açık olarak kalıyor.
Araştırmacılar, CVE-2025-7656 olarak tanımlanan bir tamsayı taşması hatasını Cursor IDE üzerinde başarıyla sömürdü. Saldırganlar bu açığı kullanarak tarayıcı bileşenini çökertiyor. Video gösterimiyle doğrulanan saldırı, sistemde hizmet dışı kalma (DoS) durumu oluşturdu. Ancak Ox Security, bu açığın yalnızca çökme değil, kod yürütme gibi daha ciddi sonuçlar doğurabileceğini de belirtti.
Araştırmacılar, kötü niyetli kişilerin çeşitli yollarla bu açıkları tetikleyebileceğini vurguladı. Zararlı eklentiler, bozuk dokümantasyon dosyaları ya da sahte öğretici içerikler aracılığıyla saldırı gerçekleştirilebilir. Ayrıca, kimlik avı bağlantıları veya zararlı kod içeren açık kaynak depoları üzerinden de bu güvenlik açıklarından faydalanılabilir.
Saldırıya genel bakış
Ox Security, Visual Studio Code’un güncel sürümlerinde aynı hataların bulunmadığını açıkladı. Microsoft’un düzenli güncellemeleri, V8 ve Chromium kaynaklı açıkların hızla kapatılmasını sağlıyor.
Cursor’un en son Chromium güncellemesini 21 Mart 2025’te yaptığı, o tarihten bu yana 94 yeni güvenlik açığının yayımlandığı bildirildi. Araştırmacılar yalnızca bir açığı silahlandırarak sömürü gerçekleştirdi, ancak mevcut zafiyetlerin toplam etkisinin çok daha geniş olduğunu ifade etti.
Cursor ve Windsurf kullanıcılarının, güncel Chromium sürümlerini temel alan IDE sürümlerine geçmeleri gerekiyor. Eski bileşenlerle çalışan sürümler, yüzlerce bilinen güvenlik açığı nedeniyle risk oluşturuyor. Güvenlik araştırmacıları, özellikle Electron tabanlı yazılımların düzenli olarak güncellenmesinin önemini vurguluyor.
