VMTech
+381 11 4150 20024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

GitHub.dev: jedan klik omogućava krađu potpunog OAuth-tokena

GitHub.dev: один клик позволяет похитить полный OAuth‑токен

Kolege, želim da skrenem pažnju iz domene kibersigurnosti: u GitHub.dev je otkrivena ranjivost koja omogućava krađu OAuth-tokena jednim klikom.

Istraživač Ammar Askar je pokazao kako zlonamerni webview u veb-verziji VS Code simulira kliktanja, otvara paletu komandi i instalira lokalno proširenje koje izdvaja token prosleđen github.dev. Token nije ograničen na repozitorijum i daje pristup svim repozitorijumima, uključujući privatne.

GitHub je obavešten 2. juna, Microsoft je potvrdio problem; VS Code Desktop nije pogođen.

Zašto je važno: kompromitovani tokeni daju pristup kodu i CI — rizik za napade na lanac snabdevanja. Preporučujem da ažurirate Vašu okolinu, uklonite sumnjive ekstenzije i rotirate tokene.

Kako Vi planirate da reagujete na ovu pretnju?
#kibersigurnost #GitHub #VSCode #OAuth

Poslednji komentari

Još nema komentara.