C
月内に
Microsoft Visual Studio Code (VS Code) のブラウザ版機能である github.dev において、認証トークンが漏洩する深刻…
📌 一言でいうと
Microsoft Visual Studio Code (VS Code) のブラウザ版機能である github.dev において、認証トークンが漏洩する深刻なゼロデイ脆弱性が公開されました。攻撃者が細工したリンクや設定ファイルを通じて、ユーザーがアクセス可能な他の公開・非公開リポジトリのトークンを盗み出すことが可能です。これにより、内部ソースコードや機密プロジェクトの漏洩、改ざんなどのリスクが生じます。
🔍該当判定
- 開発者が、ブラウザ上で動作する『github.dev』(URLをgithub.comからgithub.devに変更して利用する機能)を使用している
- GitHubでソースコードを管理しており、かつ非公開(Private)リポジトリを運用している
- 開発者がVS Codeの拡張機能やJupyter Notebookファイルを頻繁に利用している
- 社内開発者がGitHubのOAuthトークンを用いて外部ツールやブラウザ版エディタに連携している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
信頼できないリポジトリの github.dev リンクを開かないこと。また、不審な VS Code 拡張機能のインストールを避け、Microsoft からの公式アップデート情報を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Visual Studio Code (github.dev) におけるトークン漏洩の脆弱性について
お疲れさまです。github.dev に関する脆弱性の情報共有です。
■ 概要
ブラウザ上で VS Code を利用できる github.dev 機能において、OAuth トークンが適切に制限されず、攻撃者が他のリポジトリへのアクセス権限を奪取できる脆弱性が報告されました。概念実証 (PoC) コードが既に公開されており、悪意のある設定ファイルや Jupyter Notebook を介して攻撃が実行される可能性があります。
■ 影響範囲
- github.dev を利用してリポジトリを操作する開発環境
■ 対応手順
1. 開発チームに対し、信頼できないソースからの github.dev リンクへのアクセスを控えるよう周知してください。
2. 不審な VS Code 拡張機能の導入を制限するポリシーの再確認を行ってください。
3. Microsoft および GitHub からの公式パッチ適用状況を監視してください。
■ 参考情報
- 研究者 Amar Askar のブログ分析
対応優先度: 高
対応期限: 速やかに周知
お疲れさまです。github.dev に関する脆弱性の情報共有です。
■ 概要
ブラウザ上で VS Code を利用できる github.dev 機能において、OAuth トークンが適切に制限されず、攻撃者が他のリポジトリへのアクセス権限を奪取できる脆弱性が報告されました。概念実証 (PoC) コードが既に公開されており、悪意のある設定ファイルや Jupyter Notebook を介して攻撃が実行される可能性があります。
■ 影響範囲
- github.dev を利用してリポジトリを操作する開発環境
■ 対応手順
1. 開発チームに対し、信頼できないソースからの github.dev リンクへのアクセスを控えるよう周知してください。
2. 不審な VS Code 拡張機能の導入を制限するポリシーの再確認を行ってください。
3. Microsoft および GitHub からの公式パッチ適用状況を監視してください。
■ 参考情報
- 研究者 Amar Askar のブログ分析
対応優先度: 高
対応期限: 速やかに周知
Subject: [Security Advisory] Token Leakage Vulnerability in Visual Studio Code (github.dev)
Dear IT/Security Team,
We are sharing information regarding a vulnerability discovered in the browser-based VS Code environment (github.dev).
■ Overview
A zero-day vulnerability has been disclosed where OAuth tokens are not properly scoped to a single repository. An attacker can craft a malicious link or configuration file (e.g., via a Jupyter Notebook) to steal a user's token, granting unauthorized access to other private and public repositories the user can access.
■ Scope
- Developers utilizing the github.dev web-based editor.
■ Recommended Actions
1. Advise developers to avoid opening github.dev links from untrusted sources.
2. Review and enforce policies regarding the installation of unverified VS Code extensions.
3. Monitor official security advisories from Microsoft and GitHub for patches.
■ Reference
- Analysis by security researcher Amar Askar
Priority: High
Deadline: Immediate awareness
Dear IT/Security Team,
We are sharing information regarding a vulnerability discovered in the browser-based VS Code environment (github.dev).
■ Overview
A zero-day vulnerability has been disclosed where OAuth tokens are not properly scoped to a single repository. An attacker can craft a malicious link or configuration file (e.g., via a Jupyter Notebook) to steal a user's token, granting unauthorized access to other private and public repositories the user can access.
■ Scope
- Developers utilizing the github.dev web-based editor.
■ Recommended Actions
1. Advise developers to avoid opening github.dev links from untrusted sources.
2. Review and enforce policies regarding the installation of unverified VS Code extensions.
3. Monitor official security advisories from Microsoft and GitHub for patches.
■ Reference
- Analysis by security researcher Amar Askar
Priority: High
Deadline: Immediate awareness