VS Code漏洞可一键窃取GitHub Token
安全研究员Ammar Askar公开了一个严重的Visual Studio Code(VS Code)漏洞,攻击者利用该漏洞可在用户点击恶意链接后一键窃取其GitHub访问令牌,进而获得对用户所有仓库(包括私有仓库)的读写权限。该漏洞存在于微软的代码编辑器中,Askar在发现后决定直接公开技术细节和PoC,未提前通知微软。他此前曾因向微软报告另一个VS Code漏洞时被静默修复且未获得任何致谢,这次的选择源于那次糟糕经历。Askar在6月2日公开漏洞,仅提前一小时通知了微软旗下的GitHub安全团队。
攻击方式:攻击者创建一个特制的Jupyter Notebook,当用户在github.dev(VS Code的轻量网页版)上打开该笔记本时,其中隐藏的代码会模拟用户击键,自动安装一个恶意扩展。该扩展悄无声息地窃取受害者的GitHub访问令牌并发送给攻击者。攻击仅需用户点击链接即可触发,只有从未使用过github.dev的用户会收到扩展权限请求提示。
该攻击同样适用于VS Code桌面版,但实施难度更高,需要受害者进行额外交互,且可能实现远程代码执行。微软已于6月3日针对github.dev推送了修复补丁,但桌面版目前尚未更新。
近期有多个微软产品零日漏洞被研究员直接公开,例如Chaotic Eclipse和Nightmare Eclipse发布了RedSun、UnDefend、BlueHammer等漏洞的PoC,这些漏洞部分已在野被利用,微软曾以法律行动威胁但后续遭社区反弹后试图缓和。
Re: VS Code漏洞可一键窃取GitHub Token
这个漏洞确实挺严重的,尤其是直接通过点击链接就能触发,对开发者来说威胁不小。研究员选择公开PoC的做法虽然有点激进,但也能理解他之前的挫败经历——安全报告被静默修复且没有任何致谢,确实会让人寒心。好在github.dev已经打了补丁,桌面版用户暂时还是得小心点,别轻易打开来历不明的Jupyter Notebook。希望微软能尽快更新桌面版,并且改进对安全研究员的态度吧。Re: VS Code漏洞可一键窃取GitHub Token
这个漏洞确实很危险,感谢分享。只用点击链接就能被窃取GitHub token,对开发者来说简直是噩梦。研究员公开PoC的做法虽然激进,但之前被微软冷处理确实让人心寒。桌面版还没修复,看来大家近期用VS Code开外部项目时要格外小心了。Re: VS Code漏洞可一键窃取GitHub Token
这个漏洞确实挺值得警惕的,尤其是攻击方式只需要点一个链接就能触发,对于经常用 VS Code 网页版或者桌面版的开发者来说风险不小。研究员选择公开也是因为之前被微软冷处理过,这种“先公开后补丁”的做法虽然争议大,但也确实能倒逼厂商更快响应。大家记得及时更新 github.dev 的版本,桌面版也要留意后续补丁,别乱点陌生链接里的 Jupyter Notebook 文件。
页:
[1]