Auf den Punkt: Ein 0-Day in VSCode erlaubt Attackern, GitHub-Tokens durch Benutzerinteraktion zu kompromittieren, wurde aber ohne responsibles Disclosure veröffentlicht.
Ein Sicherheitsforscher hat eine kritische Schwachstelle in VSCode und GitHub öffentlich gemacht, ohne das koordinierte Offenlegungsverfahren des Microsoft Security Resource Center (MSRC) zu durchlaufen. Die Lücke ermöglicht es, GitHub-Tokens mit einem Klick zu stehlen.
Ein Sicherheitsforscher hat eine kritische 1-Klick-Schwachstelle in VSCode und GitHub öffentlich offengelegt. Die Lücke ermöglicht es, authentifizierte GitHub-Tokens zu stehlen, indem ein Angreifer den betroffenen Nutzer zur Interaktion mit speziell präparierten Inhalten verleitet.
Der Forscher verzichtete bewusst auf eine koordinierte Offenlegung über das Microsoft Security Resource Center (MSRC). Durch diese Praxis, bekannt als Responsible Disclosure oder Coordinated Vulnerability Disclosure, hätte Microsoft Zeit zur Entwicklung und zum Rollout eines Patches vor der öffentlichen Bekanntmachung erhalten. Die Entscheidung des Forschers, die Lücke ohne diese Abstimmung zu veröffentlichen, hinterlässt Organisationen unmittelbar ohne Patch-Schutz.
Für CISOs bedeutet dies eine sofortige Bedrohung für Entwickler- und Build-Umgebungen, die VSCode nutzen und mit GitHub verbunden sind. Ein kompromittierter Token erlaubt Angreifern, Code-Repositories zu manipulieren, Supply-Chain-Attacken durchzuführen oder Zugänge zu erweitern. Organisationen sollten unverzüglich ihren VSCode-Einsatz überprüfen, Nutzer zur Vorsicht mit verdächtigen Links instruieren und GitHub-Tokens mit niedrigen Berechtigungen konfigurieren sowie regelmäßige Token-Rotation durchsetzen.
Quelle: borncity.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.