恶意扩展可滥用 VS Code 漏洞窃取认证令牌
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
微软的VS Code代码编辑器存在一个漏洞,允许恶意扩展程序检索存储在Windows、Linux和macOS中的身份验证令牌。该漏洞由Cycode研究人员发现,但微软决定不修复。漏洞的原因是VS Code的秘密存储缺乏对身份验证令牌的隔离,使得任何扩展都可以滥用Keytar来访问令牌。尽管Cycode向微软披露了漏洞并演示了攻击能力,但微软决定不修复。
🎯
关键要点
- 微软的VS Code代码编辑器存在漏洞,允许恶意扩展程序检索存储的身份验证令牌。
- 这些令牌用于集成第三方服务,窃取可能导致数据安全问题。
- Cycode研究人员发现漏洞并报告给微软,但微软决定不修复。
- 漏洞源于VS Code的秘密存储缺乏对身份验证令牌的隔离。
- 任何扩展都可以滥用Keytar访问存储的令牌。
- Cycode开发了恶意扩展来窃取CircleCI的令牌。
- 研究人员发现可以在不篡改目标扩展代码的情况下提取机密。
- 用于加密令牌的算法是AES-256-GCM,但密钥容易被重建。
- 检索到的令牌通过自定义JS脚本解密并打印。
- 微软未将此漏洞视为安全问题,决定维持现有设计。
➡️
