🔥 この記事の詳細
2026-06-05 更新
B
今週中

研究員のAmmar Askar氏が、Visual Studio Code (VS Code) のウェブ版(GitHub.dev)におけるゼロデイ脆弱性

脆弱性🌐 英語ソース
📅 2026-06-05📰 ithome_tw
📌 一言でいうと
研究員のAmmar Askar氏が、Visual Studio Code (VS Code) のウェブ版(GitHub.dev)におけるゼロデイ脆弱性を公開しました。攻撃者が悪意のあるリンクへ誘導し、Webviewコンポーネントを通じて悪意のあるスクリプトを実行させることで、GitHub OAuthトークンを窃取し、ユーザーの公開・非公開リポジトリにアクセスできる可能性があります。微ソフトはこの報告を受け、6月3日に緊急パッチを適用しました。
🔍該当判定
  • 開発業務で Visual Studio Code (VS Code) を利用している
  • ブラウザ版の VS Code (github.dev) を利用してコードを編集している
  • GitHub のアカウントを VS Code と連携させて利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
VS Codeおよび関連するウェブエディタを最新バージョンに更新し、不審なリンクのクリックを避けること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】VS Code(ウェブ版)をご利用の方へ:不審なリンクへの注意のお願い

お疲れさまです。情報システム担当です。
VS Codeのウェブ版(GitHub.dev)において、悪意のあるリンクをクリックすることでGitHubの権限(トークン)が盗まれる脆弱性が報告されました。

ご協力をお願いしたいこと:
1. ブラウザでVS Code(GitHub.dev)を利用する際、心当たりのない不審なリンクは絶対にクリックしないでください。
2. ソフトウェアの更新通知が表示された場合は、速やかに最新版へアップデートしてください。

対応期限: 本日中
Subject: [Security Alert] Caution regarding suspicious links in VS Code (Web Version)

Dear employees,

A vulnerability has been reported in the web version of VS Code (GitHub.dev) that could allow attackers to steal GitHub access tokens if a user clicks a malicious link.

Requested Actions:
1. Please avoid clicking any suspicious or unknown links while using VS Code in your browser.
2. Ensure your software is updated to the latest version immediately if an update is available.

Deadline: Immediate
件名: 【共有】Visual Studio Code (GitHub.dev) OAuthトークン窃取の脆弱性対応について

お疲れさまです。VS Codeのウェブ版における脆弱性に関する情報共有です。

■ 概要
GitHub.devのWebviewコンポーネントがキーボードイベントを親ウィンドウに伝播させる不備があり、攻撃者が悪意のあるスクリプトを実行させ、権限過剰なGitHub OAuthトークンを窃取できる脆弱性が公開されました。これにより、ユーザーの全リポジトリへの不正アクセスが可能になります。

■ 影響範囲
- Visual Studio Code ウェブ版 (GitHub.dev)

■ 対応手順
1. 開発チームに対し、最新のパッチが適用されているか確認を指示してください。
2. 6月3日にリリースされた緊急修正が適用されていることを確認してください。

■ 参考情報
- Ammar Askar's blog/GitHub issue

対応優先度: 高
対応期限: 2024年6月上旬
Subject: [Technical Info] Vulnerability in Visual Studio Code (GitHub.dev) OAuth Token Theft

Dear IT/Security Team,

This is a technical alert regarding a vulnerability in the web version of VS Code (GitHub.dev).

■ Overview
A flaw in the Webview component allows keyboard events to be passed to the main window, enabling attackers to execute malicious scripts and steal GitHub OAuth tokens. These tokens were found to have excessive permissions, granting access to all of a user's repositories rather than a single one.

■ Scope
- Visual Studio Code Web version (GitHub.dev)

■ Mitigation Steps
1. Verify that all developers are using the latest patched version of the environment.
2. Confirm the application of emergency patches released on June 3rd.

■ Reference
- Ammar Askar's public disclosure (GitHub/Blog)

Priority: High
Deadline: Early June 2024
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-05 のまとめ🔍 記事を検索