Back to Wazzaps's feed
🔐Cybersecuritykite.kagi.com

VS Code 결함으로 GitHub 토큰 탈취 위험 노출 (opens in new tab)

Covers 2 stories See all stories this covers including 1-Click GitHub Token Stealing via a VSCode Bug

보안 연구원 Ammar Askar는 6월 2일, GitHub 리포지토리와 함께 사용되는 브라우저 기반 VS Code 환경인 github.dev에 영향을 미치는 Visual Studio Code 취약점에 대한 익스플로잇 코드를 공개했습니다. 이 결함은 공격자가 사용자를 속여 악성 링크를 클릭하게 함으로써 GitHub OAuth 토큰을 훔칠 수 있게 합니다. 해당 토큰은 피해자가 접근 가능한 프라이빗 리포지토리에 대한 권한을 포함하고 있습니다. 이 익스플로잇은 VS Code의 샌드박스형 웹뷰 메시지 전송 시스템을 악용하여 에디터 키 입력을 시뮬레이션하고 악성 확장을 설치하는 JavaScript를 실행합니다. 그런 다음 해당 확장은 github.com에서 github.dev로 전달된 OAuth 토큰을 추출합니다. BleepingComputer는 보도 시점까지 이 문제가 패치되지 않았으며 CVE ID도 부여되지 않았다고 전했으며, IT Home은 마이크로소프트가 보도 시점까지 공식 성...

Read the original article
Sign in to keep reading the full article.
Sign UpLog In

Keyboard Shortcuts

Navigation

Next / previous post
j/k
Open post
oorEnter
Preview post
v

Post Actions

Love post
a
Like post
l
Dislike post
d
Undo reaction
u
Save / unsave
s

Recommendations

Add interest / feed
Enter
Not interested
x

Go to

Home
gh
Interests
gi
Feeds
gf
Likes
gl
History
gy
Changelog
gc
Settings
gs
Discover
gb
Search
/

General

Show this help
?
Submit feedback
!
Close modal / unfocus
Esc

Press ? anytime to show this help