Auf den Punkt: GitHub übergab ungebündelte OAuth-Token an die Browser-Instanz von VSCode, wodurch Angreifer über manipulierte Jupyter-Notebook-Erweiterungen auf alle privaten Repositories eines Entwicklers zugreifen konnten.
Eine Schwachstelle in GitHubs Browser-Editor github.dev ermöglichte es Angreifern, vollständige OAuth-Token mit Zugriff auf alle Repositories eines Entwicklers zu stehlen. Die Lücke wurde bereits von Microsoft geschlossen, zeigt aber grundlegende Probleme in der DevOps-Sicherheit.
Die von Sicherheitsforscher Ammar Askar identifizierte Schwachstelle betraf github.dev, das Browser-basierte Interface von VSCode, das durch simples Umbenennen der URL (von github.com zu github.dev) erreichbar ist. Dieses Tool ermöglicht Entwicklern, Repositories zu durchsuchen, Pull Requests zu erstellen und Commits durchzuführen, ohne die gesamte Codebasis lokal zu klonen – eine häufig genutzte Funktion für schnelle Code-Reviews und Dokumentationsänderungen.
Das zentrale Sicherheitsproblem: GitHub POSTete einen unbegrenzten OAuth-Token zu github.dev, der nicht auf das spezifische Repository beschränkt war. Dieser Token gewährte Vollzugriff auf alle Repositories, auf die der Benutzer zugreifen konnte. Kombiniert mit dem komplexen VSCode-Codebase (knapp eine Million Zeilen TypeScript) war diese Kombination ein attraktives Ziel für Angreifer, die VSCode-Vulnerabilities ausnützen wollten.
Askar demonstrierte einen praktischen Exploit über eine manipulierte Jupyter-Notebook-Erweiterung, die im Repository installiert werden konnte und die Prüfung des Herausgebers umging. Einmal ausgeführt, extrahierte die Erweiterung den GitHub API-Token, fragte alle zugänglichen privaten Repositories ab und gab Token sowie Ergebnisse aus. Ein Angreifer hätte auf diese Weise durch eine betrügerische github.dev-URL oder mit sozialer Ingenierie beliebige Änderungen an kritischen Projekten vornehmen können. Die Schwachstelle existierte auch in der Desktop-Version von VSCode, erforderte dort aber das Klonen des böswilligen Repositories durch das Opfer.
Für CTOs bedeutet dies ein Paradigmenwechsel: Entwickler-Endpoints und Cloud-Umgebungen erfordern striktes Zero-Trust-Handling und dürfen nicht auf Vendor-Sicherheit verlassen können. Die unkritische Weitergabe unbegrenzter Tokens in Browser-Sandboxes – besonders bei Anwendungen mit großem Angriffsflächenpotenzial – muss durch Scope-Limitation, mehrstufige Token-Verwaltung und strikte Validierung von Browser-Extensions ersetzt werden.
Quelle: www.csoonline.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.