Auf den Punkt: Eine Lücke auf GitHub.dev ermöglichte Angreifern, OAuth-Token zu stehlen und alle Repositories eines Benutzers zu kompromittieren.
Eine Sicherheitslücke auf GitHub.dev, der browsergestützten VS Code-Instanz, erlaubte Angreifern, OAuth-Token von Benutzern zu entwenden und damit unbegrenzte Zugriffe auf alle ihre Repositories auszuführen.
GitHub.dev ist eine browsergestützte Instanz von VS Code, die direkten Zugriff auf Repositories ermöglicht, ohne dass lokal Entwicklungsumgebungen konfiguriert werden müssen. Eine Sicherheitslücke in diesem Service gestattete Angreifern, die OAuth-Authentifizierungstoken der Nutzer zu exfiltrieren.
Mit den gestohlenen Tokens konnten Angreifer uneingeschränkt auf alle Repositories eines Benutzers zugreifen – unabhängig von dessen Berechtigungsstufe. Dadurch wurden verschiedene Angriffsvektoren möglich: Code könnte manipuliert, Secrets extrahiert oder Malware in den Entwicklungsprozess injiziert werden. Die Lücke betraf somit nicht nur den individuellen Nutzer, sondern auch alle Organisationen und Projekte, auf die dieser Zugriff hatte.
Aus dem Heise-Bericht geht hervor, dass GitHub bereits auf die Sicherheitslücke hinweist, konkrete technische Details zur Ausnutzung oder der exakten Schwachstelle werden jedoch nicht genannt. Dies unterstreicht die kritische Natur des Befunds, da eine vorzeitige Offenlegung das Risiko für noch nicht gepatchte Systeme erhöhen würde. CISOs sollten prüfen, ob ihre Entwickler GitHub.dev nutzen und – bis eine Reparatur durch GitHub bestätigt ist – Nutzungsrichtlinien überprüfen oder Beschränkungen einführen.
Quelle: www.heise.de · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.