精选理由
点个链接Token就被偷了
安全研究员Ammar Askar发现GitHub浏览器版VS Code(github.dev)的Webview机制存在漏洞。攻击者可通过恶意Jupyter Notebook链接,在30秒内模拟按键事件安装扩展,窃取用户的GitHub OAuth tokens。该漏洞也影响桌面版VS Code,但需用户克隆仓库并打开Notebook。Askar未协调微软MSRC披露,因此前VS Code漏洞报告曾被静默修复且未获致谢。缓解措施包括清除github.dev站点数据并卸载可疑扩展。
AI 翻译 · 中文
安全研究员Ammar Askar发现GitHub浏览器版VS Code(github.dev)的Webview机制存在漏洞。攻击者可通过恶意Jupyter Notebook链接,在30秒内模拟按键事件安装扩展,窃取用户的GitHub OAuth tokens。该漏洞也影响桌面版VS Code,但需用户克隆仓库并打开Notebook。Askar未协调微软MSRC披露,因此前VS Code漏洞报告曾被静默修复且未获致谢。缓解措施包括清除github.dev站点数据并卸载可疑扩展。
IT之家 6 月 3 日消息,安全研究员 Ammar Askar 昨日(6 月 2 日)发布推文,公开了一个概念验证(PoC)漏洞, 指出 GitHub 浏览器版 VS Code 存在安全漏洞,用户点击链接后,GitHub OAuth tokens 可能被黑客掌握。 IT之家援引博文介绍,该漏洞受存在于 GitHub 浏览器版 VS Code( github.dev )的 Webview 机制中。Webview 本应用沙箱隔离 Jupy…