Yksi klikkaus, kaikki repoosiot: VS Coden nollapäivä mursi luottamuksen Microsoftiin

Askar ilmaisi suoraan, ettei hänellä ollut "mitään kiinnostusta" käsitellä MSRC-prosessia uudelleen . Aiempi bugi oli alun perin raportoitu GitHubin HackerOne-ohjelmaan, josta hänet ohjattiin MSRC:lle perusteluin, ettei se kuulunut HackerOnen piiriin – byrokraattinen pallottelu jätti löydöksen ilman korvausta ja tunnustusta .

Näin hyökkäys toimii: Neljävaiheinen ketju

Hyökkäys yhdistää kolme haavoittuvuutta saumattomaksi ketjuksi, joka ohittaa kaikki github.devn turvarajat.

1. Webview-näppäimistötapahtumien välitys

VS Coden webview-näkymät – eristetyt hiekkalaatikot, jotka näyttävät Jupyter Notebookeja, Markdown-esikatseluita ja muuta sisältöä – on suunniteltu turvallisiksi osastoiksi. Jotta pikanäppäimet kuitenkin toimisivat niissä, editori välittää näppäintapahtumat eristetystä webview-näkymästä pääeditoriprosessiin . Tämä avaa väylän ulkopuolelle.

2. Keinotekoisten näppäinpainallusten syöttö

Hyökkääjän repositoriossa oleva haitallinen Jupyter Notebook lähettää keinotekoisia näppäimistötapahtumia (Ctrl+Shift+A, Ctrl+F1) eristetystä webview-näkymästä suoraan VS Coden pääikkunaan . Nämä näppäinpainallukset käynnistävät hiljaisesti "Asenna laajennus" -komennon ja ohittavat julkaisijan vahvistusdialogin, jonka pitäisi estää epäluotettavien laajennusten asennus .

3. Paikallisen työtilalaajennuksen luottamus

Hyökkääjän repositoriossa on valmiiksi pakattu VS Code -laajennus .vscode/extensions-kansiossa. Koska github.dev luottaa työtilan mukana toimitettuihin laajennuksiin oletusarvoisesti, haitallinen laajennus asentuu ilman minkäänlaista käyttäjän lupakyselyä . Tämä on käänteinen versio ominaisuudesta, joka tekee paikallisesta kehityksestä sujuvaa.

4. OAuth-tunnuksen ulossuodatus

Kun roguelaajennus on käynnissä, se saa täyden pääsyn github.devn ajonaikaiseen ympäristöön. Tämä ympäristö sisältää GitHub OAuth -tunnuksen, jonka github.com lähettää hiljaisesti POST-pyynnöllä github.dev:lle aina, kun repositorio avataan. Kriittisesti tätä tunnusta ei ole rajattu vain avattavaan repositorioon – se kantaa käyttäjän täydet käyttöoikeudet . Laajennus poimii tunnuksen, kysyy GitHubin API:sta uhrin yksityisten repositorioiden luettelon ja lähettää sekä tunnuksen että repometatiedot hyökkääjälle .

Lopputulos: täydellinen luku- ja kirjoitusoikeus kaikkiin julkisiin ja yksityisiin repositorioihin, joihin uhrilla on pääsy – saavutettuna yhdellä linkin klikkauksella .

Microsoftin vastaus

Microsoft tunnusti haavoittuvuuden 2. kesäkuuta 2026 ja vahvisti, että se oli korjattu sen palveluissa – erityisesti github.dev:ssä ja VS Code for the Web:ssä . Pöytäversion VS Code ei ollut haavoittuvainen .

Kesäkuun 3. päivänä Microsoft julkaisi palvelinpuolen korjauksia, mukaan lukien luottamusvahvistusvaiheen selainpohjaisia Notebookeja avattaessa ja laajennusten asennuskomennon eston vastaanottaa mielivaltaista kutsujatietoa . Kesäkuun 4. päivään mennessä oli otettu käyttöön lisärajoituksia webview-tapahtumien käsittelyyn .

Vaikka Microsoft totesi, ettei ongelma koske VS Coden työpöytäversiota, paikallisiin työtilalaajennuksiin luottamisen taustalla oleva periaate herättää huolta jokaiselle VS Coden käyttäjälle, joka avaa epäluotettavia repositorioita paikallisesti.

Mikä tekee tästä erityisen

Hyökkäysketju on poikkeuksellinen kolmesta syystä.

Ensinnäkin hyökkäyspinta on pelkkä URL-osoite. Uhrien ei tarvitse ladata tiedostoa, avata päätettä tai hyväksyä lupapyyntöä. Selainlinkki github.dev:ään on ainoa edellytys.

Toiseksi tunnuksen laajuus on hälyttävän laaja. OAuth-tunnus, jonka github.com välittää github.dev:lle, ei rajoitu tarkasteltavaan repositorioon. Se kantaa käyttäjän täydet GitHub-oikeudet – jos hyökkääjä vaarantaa julkisen avoimen lähdekoodin projektin parissa työskentelevän kehittäjän, hän saa samalla käyttöoikeudet kehittäjän työnantajan yksityisiin repositorioihin .

Kolmanneksi työtilan luottamus kääntyy itseään vastaan. Ominaisuus, joka tekee paikallisesta kehityksestä sujuvaa – projektiin kuuluviin laajennuksiin luottaminen – muuttuu mekanismiksi, joka myöntää haitalliselle hyötykuormalle automaattisen suoritusoikeuden.

OpenClaw AI-agentin viisi nollapäiväistä identiteetinkaappausvirhettä

Samanaikaisen julkistuksen myötä tutkijat raportoivat viidestä nollapäivähaavoittuvuudesta OpenClaw AI-agenttikehyksessä, jotka mahdollistavat sallittujen käyttäjien esiintymisen toisena henkilönä ja luotetun AI-agentin käyttöoikeuksien kaappaamisen useilla viestialustoilla .

Juurisyy on arkkitehtoninen: OpenClaw tukee 15 eri kanavasovitinta – Telegram, Slack, Discord, WhatsApp ja muita – ja jokainen sovitin toteuttaa itsenäisesti oman sallittujen käyttäjien valtuutuksensa ja webhook-vahvistuksensa . Turvallisuuden kannalta kriittiset identiteettikentät, kuten näyttönimet, ovat muokattavissa alustatasolla ja ne muunnetaan pysyviksi käyttäjätunnuksiksi (ID) epäjohdonmukaisesti eri sovittimissa .

Koska keskitettyä käytäntöjen valvontakerrosta ei ole, hyökkääjät voivat:

• esiintyä sallittuna käyttäjänä yhdellä kanavalla yksinkertaisesti vaihtamalla näyttönimensä vastaamaan valtuutettua identiteettiä .
• hyödyntää epäjohdonmukaista identiteetin selvitystä eri kanavalaajennuksissa ohittaakseen luottotarkistukset, jotka toimivat yhdellä kanavalla mutta epäonnistuvat toisella .
• kaapata tekoälyagentin käyttöoikeudet – joihin usein sisältyy komentotulkin käyttöoikeus, API-avaimet ja tiedostojärjestelmän oikeudet – ilman päteviä tunnistetietoja .

Kesäkuun 3. päivänä 2026 arXiv-palvelimella julkaistu turvallisuusanalyysi tunnisti haavoittuvuuksia useilla arkkitehtuurikerroksilla (suorituskäytäntö, yhdyskäytävä, kanava, hiekkalaatikko, selain, liitännäinen ja kehote), ja hallitseva rakenteellinen ongelma oli kerros- ja kutsukohtainen luottamuksen valvonta yhtenäisten käytäntörajojen sijaan . Analyysi osoitti, että erilliset arkkitehtuuriset heikkoudet muodostavat yhdessä täydellisen tunnistautumattoman etäsuorituspolun .

Singaporen kyberturvallisuusvirasto (CSA) antoi toukokuun 2026 lopussa varoituksen korjaamattomista haavoittuvuuksista, heikoista pääsynvalvontamekanismeista ja haitallisten kolmannen osapuolen taitojen riskeistä ClawHub-markkinapaikalla .