Auf den Punkt: Eine ungepatchte Zero-Day in VS Code/github.dev ermöglicht den Diebstahl von GitHub-OAuth-Tokens über manipulierte Links und bietet Zugriff auf alle privaten Repositorys eines Opfers.
Ein öffentlich gemachter Exploit für eine ungepatchte Schwachstelle in Visual Studio Code ermöglicht es Angreifern, GitHub-OAuth-Token zu stehlen, indem sie Entwickler auf manipulierte Links klicken lassen. Microsoft hat für diese Zero-Day noch keinen Patch bereitgestellt.
Sicherheitsforscher Ammar Askar hat den Programmcode für eine Zero-Day-Schwachstelle in Visual Studio Code öffentlich gemacht. Die Lücke betrifft github.dev, die browserbasierte Version für die Bearbeitung von GitHub-Repositorys direkt im Webbrowser. Der Angriffsvektor nutzt das isolierte Nachrichtensystem innerhalb der Webview von Visual Studio Code aus.
Ein Angreifer kann ein Opfer dazu verleiten, auf einen präparierten Link zu klicken. Der bereitgestellte Proof-of-Concept-Exploit führt bösartigen JavaScript-Code innerhalb der Webansicht aus, der Tastatureingaben simuliert, um im Hintergrund eine schädliche Erweiterung zu installieren. Diese Erweiterung fängt das GitHub-OAuth-Token ab, das beim Laden der Seite übertragen wird, und fragt die GitHub-API ab, um alle privaten Repositorys aufzulisten, auf die das Opfer Zugriff hat. Das Token ist nicht auf ein spezifisches Repository beschränkt, sondern bietet vollen Zugriff auf alle Repositorys, auf die der Nutzer Zugriff besitzt.
Für CISOs ist relevant, dass zum Zeitpunkt der Veröffentlichung noch keine CVE-Kennung vergeben wurde und Microsoft keinen offiziellen Patch bereitgestellt hat. Das Risiko betrifft alle Entwickler, die github.dev oder VS Code verwenden und sich über GitHub authentifiziert haben. Die Angriffsfläche ist hoch, da die Ausnutzung nur einen Klick auf einen präparierten Link erfordert.
Als vorläufige Gegenmaßnahme können Nutzer die im Browser gespeicherten Cookies und lokalen Websitedaten für die Domain github.dev löschen. Dies kann über das Schlosssymbol oder das Einstellungs-Icon in der Adressleiste durchgeführt werden. Durch das Bereinigen dieser lokalen Daten wird erzwungen, dass bei einem erneuten Verbindungsversuch über einen manipulierten Link eine explizite Sicherheitswarnung erscheint, die einen Dialog mit der Anfrage zur Anmeldung einblendet und den automatisierten Tokendiebstahl unterbricht.
Askar begründete die unmittelbare Veröffentlichung ohne Einhaltung üblicher Sperrfristen mit negativen Erfahrungen mit dem Microsoft Security Response Center (MSRC). Er gab dem GitHub-Sicherheitsteam lediglich eine Stunde Vorankündigung. Microsoft habe von ihm gemeldete Sicherheitslücken in Visual Studio Code in der Vergangenheit stillen behoben, ohne den Entdecker zu nennen oder das Sicherheitsrisiko anzuerkennen.
Quelle: www.it-daily.net · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.