B
今週中
セキュリティ研究者のAmmar Askar氏が、ブラウザベースのVS Codeである「github.dev」における深刻なゼロデイ脆弱性
📌 一言でいうと
セキュリティ研究者のAmmar Askar氏が、ブラウザベースのVS Codeである「github.dev」における深刻なゼロデイ脆弱性を公開しました。攻撃者が用意したリンクをクリックさせるだけで、GitHubのOAuthトークンを窃取し、ユーザーのプライベートリポジトリを含むすべてのリポジトリへの読み書き権限を得る可能性があります。研究者はMicrosoftの脆弱性開示プロセスへの不信感から、調整期間を設けず即座にPoCを公開しました。
🔍該当判定
- ブラウザ版のVS Code(github.dev)を利用してコードを編集している
- GitHubのリポジトリをブラウザ上で直接開いて編集する運用がある
- GitHubのプライベートリポジトリ(非公開設定)を管理・運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なリンクをクリックしないこと。GitHubのトークン権限を定期的に見直し、不要な権限を持つトークンを削除すること。ベンダーからの修正アップデートを待機すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】GitHub上のエディタ利用時の不審なリンクへの注意について
お疲れさまです。情報システム担当です。
GitHubのブラウザ版エディタ(github.dev)において、リンクをクリックするだけでアカウントの権限が盗まれる深刻な脆弱性が報告されました。
ご協力をお願いしたいこと:
1. 知らない相手から送られてきたGitHubリポジトリへのリンクや、不審なURLを安易にクリックしないでください。
2. 万が一、不審なリンクをクリックした後に身に覚えのない操作が行われている場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(周知確認)
お疲れさまです。情報システム担当です。
GitHubのブラウザ版エディタ(github.dev)において、リンクをクリックするだけでアカウントの権限が盗まれる深刻な脆弱性が報告されました。
ご協力をお願いしたいこと:
1. 知らない相手から送られてきたGitHubリポジトリへのリンクや、不審なURLを安易にクリックしないでください。
2. 万が一、不審なリンクをクリックした後に身に覚えのない操作が行われている場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(周知確認)
Subject: [Security Alert] Caution Regarding Suspicious Links in GitHub Browser Editor
Dear employees,
A critical vulnerability has been reported in the browser-based version of VS Code (github.dev) that could allow attackers to steal your GitHub account tokens via a malicious link.
Requested Actions:
1. Do not click on suspicious links or URLs leading to GitHub repositories from unknown sources.
2. If you have clicked a suspicious link and notice any unusual activity in your account, please report it to the IT security team immediately.
Deadline: Immediate
Dear employees,
A critical vulnerability has been reported in the browser-based version of VS Code (github.dev) that could allow attackers to steal your GitHub account tokens via a malicious link.
Requested Actions:
1. Do not click on suspicious links or URLs leading to GitHub repositories from unknown sources.
2. If you have clicked a suspicious link and notice any unusual activity in your account, please report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】github.dev におけるOAuthトークン窃取の脆弱性について
お疲れさまです。github.devに関する脆弱性の情報共有です。
■ 概要
github.comからgithub.devへ渡されるOAuthトークンのスコープが適切に制限されていないため、攻撃者が用意したリンクを踏ませることで、ユーザーの全リポジトリ(プライベート含む)への読み書き権限を持つトークンを窃取される可能性があります。PoCが既に公開されており、即座に悪用されるリスクがあります。
■ 影響範囲
- github.dev (ブラウザベースのVS Code)
- GitHubアカウントを連携させて利用しているユーザー
■ 対応手順
1. 開発チームに対し、不審なリンクへのアクセスを禁止する注意喚起を行う。
2. GitHubの個人設定から、不審なアプリケーション連携やトークンが発行されていないか確認を推奨する。
3. Microsoft/GitHubからの公式パッチおよび修正情報の発表を監視する。
■ 参考情報
- 報告者: Ammar Askar
対応優先度: 高
対応期限: 修正パッチ適用まで
お疲れさまです。github.devに関する脆弱性の情報共有です。
■ 概要
github.comからgithub.devへ渡されるOAuthトークンのスコープが適切に制限されていないため、攻撃者が用意したリンクを踏ませることで、ユーザーの全リポジトリ(プライベート含む)への読み書き権限を持つトークンを窃取される可能性があります。PoCが既に公開されており、即座に悪用されるリスクがあります。
■ 影響範囲
- github.dev (ブラウザベースのVS Code)
- GitHubアカウントを連携させて利用しているユーザー
■ 対応手順
1. 開発チームに対し、不審なリンクへのアクセスを禁止する注意喚起を行う。
2. GitHubの個人設定から、不審なアプリケーション連携やトークンが発行されていないか確認を推奨する。
3. Microsoft/GitHubからの公式パッチおよび修正情報の発表を監視する。
■ 参考情報
- 報告者: Ammar Askar
対応優先度: 高
対応期限: 修正パッチ適用まで
Subject: [Technical Alert] OAuth Token Theft Vulnerability in github.dev
Dear IT/Security Team,
We are sharing information regarding a critical zero-day vulnerability in github.dev.
■ Overview
Due to improper scoping of OAuth tokens passed from github.com to github.dev, an attacker can steal a token granting full read/write access to all of a user's repositories (including private ones) via a simple link-click. A Proof-of-Concept (PoC) has been publicly released.
■ Scope
- github.dev (Browser-based VS Code)
- Users authenticated via GitHub OAuth
■ Mitigation Steps
1. Issue a warning to all developers to avoid clicking untrusted links leading to github.dev.
2. Recommend users review their GitHub Personal Access Tokens and authorized OAuth apps.
3. Monitor official advisories from Microsoft/GitHub for a permanent fix.
■ Reference
- Researcher: Ammar Askar
Priority: High
Deadline: Until patch is deployed
Dear IT/Security Team,
We are sharing information regarding a critical zero-day vulnerability in github.dev.
■ Overview
Due to improper scoping of OAuth tokens passed from github.com to github.dev, an attacker can steal a token granting full read/write access to all of a user's repositories (including private ones) via a simple link-click. A Proof-of-Concept (PoC) has been publicly released.
■ Scope
- github.dev (Browser-based VS Code)
- Users authenticated via GitHub OAuth
■ Mitigation Steps
1. Issue a warning to all developers to avoid clicking untrusted links leading to github.dev.
2. Recommend users review their GitHub Personal Access Tokens and authorized OAuth apps.
3. Monitor official advisories from Microsoft/GitHub for a permanent fix.
■ Reference
- Researcher: Ammar Askar
Priority: High
Deadline: Until patch is deployed