VSCode零日漏洞允许黑客一键窃取GitHub令牌

admin 2026-06-30 07:42:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 安全研究人员披露了VSCode零日漏洞利用代码,攻击者可通过恶意扩展程序利用Webview消息传递系统窃取GitHubOAuth令牌,从而访问用户所有私有仓库。目前暂无官方补丁,但用户可通过清除浏览器中github.dev的Cookie和站点数据缓解风险。微软表示已缓解该问题,但研究员因过往与MSRC的不愉快经历选择直接公开披露。 综合评分: 65 文章分类: 漏洞分析,应用安全,网络安全


cover_image

VS Code 零日漏洞允许黑客一键窃取 GitHub 令牌

Rhinoer Rhinoer

犀牛安全

2026年6月8日 11:22 北京

在小说阅读器读本章

去阅读

一名安全研究人员发布了 Visual Studio Code (VS Code) 零日漏洞的利用代码,该漏洞允许攻击者通过诱骗用户点击链接来窃取 GitHub 身份验证令牌。

如果软件漏洞已被公开披露和/或被积极利用,且目前没有官方补丁可用,则微软将其归类为零日漏洞。

正如研究员 Ammar Askar在上周二的一篇博客文章中所解释的那样,这个 VS Code 漏洞允许攻击者安装恶意扩展程序,通过利用 VS Code 的沙盒 webview 消息传递系统,在将 GitHub OAuth 令牌传递给 github.dev(用于处理 GitHub 存储库的基于浏览器的 Visual Studio Code 版本)时窃取这些令牌。

他周二发布的这个概念验证漏洞利用程序滥用了该系统,在 webview 中运行恶意 JavaScript 来模拟主编辑器中的按键操作,并安装一个扩展程序,该扩展程序会提取发送到 github.dev 的 GitHub OAuth 令牌,并查询 GitHub API 以枚举受害者可以访问的所有私有存储库。

Askar 表示: “这项功能是通过 github.com 向 github.dev 发送 OAuth 令牌来实现的,这样 github.com 就可以代表你与 GitHub 进行交互。该令牌的作用域并不局限于你交互的特定仓库,这意味着它拥有对你有权访问的所有其他仓库的完全访问权限。”

虽然该漏洞尚未修复,也尚未分配 CVE ID,但 VS Code 用户可以通过点击地址栏中的设置图标,然后进入“Cookies 和站点数据”>“管理设备上的站点数据”,清除浏览器中 github.dev 的 cookie 和本地站点数据来保护自己。

这将确保他们在点击试图利用此漏洞的链接时,会收到“扩展程序‘GitHub Repositories’想要使用GitHub登录的警告。

Askar 表示,他们在披露该漏洞前一小时通知了 GitHub ,并指出他们选择立即公开披露,是因为之前在微软的安全响应流程方面有过不愉快的经历,当时一个先前报告的 VS Code 漏洞被悄悄修复,既没有给予任何署名,也没有承认其安全影响。

他补充道:这主要是出于对GitHub的礼貌,我的目的是完全公开披露。根据我过去向GitHub报告github.dev bug的经验,他们会告诉你这超出了他们的职责范围,让我去向MSRC报告。正如我在文章中提到的,我真的不想就VSCode的bug问题去和MSRC打交道。

总结一下我上次与微软研发中心 (MSRC) 就 VSCode 漏洞报告进行的沟通,那是一次糟糕的经历。他们默默地修复了我指出的漏洞,却没有给予任何认可。他们还将其标记为不具有任何安全影响。

正如我在那篇文章中提到的,今后我会对我在 VSCode 中发现的任何安全漏洞进行全面公开披露。

此前,一位匿名安全研究人员(网名为“Nightmare Eclipse”)披露了微软各种产品中的一系列零日漏洞,并表达了他对微软安全响应中心 (MSRC) 处理披露流程方式的不满。

在过去的几个月里,Nightmare Eclipse 披露了BlueHammer、RedSun、GreenPlasma和MiniPlasma权限提升零日漏洞(前两个漏洞现在正被用于攻击),YellowKey(一个 Windows BitLocker 零日漏洞,可授予对受保护驱动器的访问权限),以及UnDefend(另一个零日漏洞,可被利用来阻止 Microsoft Defender 定义更新)。

最初,微软对 Nightmare Eclipse 的零日漏洞泄露事件的反应是威胁采取法律行动,随后又发推文表示,当“有人违法并从事恶意活动,给我们的客户造成实际伤害”时,微软将“酌情与执法部门合作”。

微软发言人在被问及 VS Code 零日漏洞时告诉 BleepingComputer:“我们重视安全研究界在加强我们的产品、服务和更广泛的技术生态系统的安全性方面发挥的关键作用。”

虽然独立研究人员会决定何时以及如何发表他们的研究结果,但我们仍然致力于快速评估已报告的问题,调动适当的工程和安全响应资源,并尽快提供缓解措施、指导和保护,以帮助保护我们的客户。

上周三,微软已公告大家服务已经缓解了这个问题,客户无需采取任何措施。

信息来源:BleepingComputer


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:犀牛安全 Rhinoer Rhinoer《VS Code 零日漏洞允许黑客一键窃取 GitHub 令牌》

评论:0   参与:  0