💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
安全研究员Ammar Askar披露了Visual Studio Code中的高危漏洞,该漏洞可窃取GitHub OAuth Token,导致开发者仓库受到攻击。因对微软安全团队处理漏洞的不满,他选择公开该漏洞。微软已确认并修复此漏洞,用户应尽快升级VS Code以防止攻击。
🎯
关键要点
-
安全研究员Ammar Askar披露了Visual Studio Code中的高危漏洞,可能导致GitHub OAuth Token被窃取。
-
研究员因对微软安全团队处理漏洞的不满,选择公开该漏洞,认为其遭到无声修复和无致谢等不公平待遇。
-
该漏洞允许攻击者通过特制链接窃取用户的GitHub OAuth凭证,拥有对所有仓库的读写权限,可能导致供应链攻击。
-
漏洞的核心在于GitHub的github.dev服务,存在设计缺陷,攻击者可利用此缺陷绕过跨域限制,窃取Token。
-
攻击链只需一次点击,用户访问特定Notebook链接后恶意代码自动运行,弹出Token和私有仓库列表。
-
微软确认漏洞并发布修复版本v1.124.0,用户应尽快升级VS Code以防止攻击。
❓
延伸问答
Visual Studio Code中发现了什么漏洞?
发现了一个高危漏洞,可能导致GitHub OAuth Token被窃取。
为什么安全研究员选择公开这个漏洞?
因为对微软安全团队处理漏洞的不满,包括无声修复和无致谢等不公平待遇。
这个漏洞如何被攻击者利用?
攻击者通过特制链接诱导用户点击,从而窃取用户的GitHub OAuth凭证。
微软对这个漏洞的处理措施是什么?
微软确认漏洞并发布了修复版本v1.124.0,用户应尽快升级VS Code。
该漏洞对开发者的影响是什么?
如果凭证被窃取,攻击者可以访问用户所有仓库,包括私有仓库,可能导致供应链攻击。
用户如何防止受到这个漏洞的攻击?
用户应尽快升级到VS Code的最新版本,以防止攻击。
➡️
