B
今週中
Visual Studio Codeのブラウザ版であるgithub.devにおいて、GitHub OAuthトークンを窃取できる0-day脆弱性
📌 一言でいうと
Visual Studio Codeのブラウザ版であるgithub.devにおいて、GitHub OAuthトークンを窃取できる0-day脆弱性が発見されました。攻撃者が用意したリンクをユーザーが踏むことで、悪意のあるJavaScriptが実行され、不正な拡張機能のインストールを通じてトークンが盗まれます。このトークンにより、攻撃者は被害者がアクセス権を持つすべてのプライベートリポジトリにアクセスできる可能性があります。
🔍該当判定
- ブラウザ版のVS Code(github.dev)を業務で利用している
- GitHubのプライベートリポジトリ(非公開設定のソースコード)を管理している
- VS Code上でGitHubアカウントと連携(OAuth認証)して開発を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なリンクへのアクセスを避け、信頼できない拡張機能のインストールを禁止すること。また、GitHubの認証設定やアクセスログを監視し、不審なアクティビティがないか確認することを推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】GitHubのブラウザ版エディタ利用時の不審なリンクへの注意について
お疲れさまです。情報システム担当です。
GitHubのブラウザ版エディタ(github.dev)において、不審なリンクをクリックすることで、GitHubのアクセス権限(トークン)が盗まれる脆弱性が報告されました。
ご協力をお願いしたいこと:
1. 出所不明なリンクや、不審なURLをブラウザで開かないでください。
2. 信頼できないVS Code拡張機能のインストールを避けてください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
GitHubのブラウザ版エディタ(github.dev)において、不審なリンクをクリックすることで、GitHubのアクセス権限(トークン)が盗まれる脆弱性が報告されました。
ご協力をお願いしたいこと:
1. 出所不明なリンクや、不審なURLをブラウザで開かないでください。
2. 信頼できないVS Code拡張機能のインストールを避けてください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Links in GitHub Browser-based Editor
Dear employees,
A vulnerability has been reported in the browser-based version of Visual Studio Code (github.dev) that could allow attackers to steal GitHub access tokens if a user clicks a malicious link.
Requested Actions:
1. Do not click on suspicious links or URLs from unknown sources.
2. Avoid installing VS Code extensions from untrusted sources.
Deadline: Immediate
Dear employees,
A vulnerability has been reported in the browser-based version of Visual Studio Code (github.dev) that could allow attackers to steal GitHub access tokens if a user clicks a malicious link.
Requested Actions:
1. Do not click on suspicious links or URLs from unknown sources.
2. Avoid installing VS Code extensions from untrusted sources.
Deadline: Immediate