What should I do next in practice?

חוקר האבטחה בחר בחשיפה ציבורית מלאה בשל 'אמון שבור' מול מרכז התגובה לאבטחה של מיקרוסופט, וזמן קצר לאחר מכן מיקרוסופט הפיצה תיקון

← Back to Trending

AnswersPublished6 days agoLast edited 2 days ago32 sources

פריצת ענק ל-VS Code: לחיצה בודדת על קישור מספיקה כדי לגנוב לכם את כל הקוד

מספיק ללחוץ על קישור תמים – ותוך פחות מ 30 שניות תוקף יכול לקבל את טוקן ה OAuth שלכם ולקבל גישת קריאה וכתיבה מלאה לכל המאגרים שלכם, כולל הפרטיים המתקפה מתבססת על ניצול מנגנון העברת הקשות ב webview כדי להתקין תוסף זדוני בשקט מוחלט, תוך עקיפת חלון אישור ההתקנה חוקר האבטחה בחר בחשיפה ציבורית מלאה בשל 'אמון שבור' מול מר...

Search & fact-check with Studio Global AI Browse more Trending pages

426K0

Vulnerability disclosure concept showing a broken security lock and the github.dev development environment interface — What are the details of the VS Code zero-day exploit publicly released by researcher Ammar Askar over a Microsoft disclosure dispute, includThe VS Code zero-day exploit turns a trusted development environment into an attack vector through a single malicious repository link.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What are the details of the VS Code zero-day exploit publicly released by researcher Ammar Askar over a Microsoft disclosure dispute, includ. Article summary: ## VS Code Zero-Day (Ammar Askar Disclosure). Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "A security researcher has released exploit code for a Visual Studio Code (VS Code) zero-day vulnerability that allows attackers to steal GitHub authentication tokens by tricking us" source context "VS Code zero-day lets hackers steal GitHub tokens in one click" Reference image 2: visual subject "Ammar Askar has leaked a proof-of-concept (PoC) exploit for a Visual Studio Code (VS Code) vulnerability, affecting anyone who has ever used" source context "Ethical Hacking News" Sty
openai.com

ב-2 ביוני 2026, חוקר האבטחה אמאר עסכר (Ammar Askar) פרסם לציבור קוד תקיפה מלא (PoC) שמדגים איך לחיצת עכבר תמימה אחת הופכת לפריצה מלאה לחשבון GitHub שלכם. היעד אינו איזה אתר צד ג' מפוקפק, אלא github.dev – סביבת הפיתוח של מיקרוסופט מבוססת הדפדפן. כל מה שהקורבן צריך לעשות הוא ללחוץ על קישור למאגר (Repository) שהוכן במיוחד, וטוקן OAuth שמעניק לתוקף גישת קריאה וכתיבה לכל מאגר שהקורבן יכול לגשת אליו (כולל פרטיים!), פשוט נופל לידיו.

כל שרשרת התקיפה אורכת פחות מ-30 שניות, ודורשת אפס פעולות מהמשתמש מעבר ללחיצה הראשונית. לא הוקצה מספר CVE לאירוע, וכל התהליך המקובל של דיווח מתואם על פרצות נעקף לגמרי.

מאחורי הקלעים של החשיפה: משבר אמון

ההחלטה של עסכר לחשוף את הפרצה לציבור ללא תיאום דרך מרכז התגובה לאבטחה של מיקרוסופט (MSRC) לא הייתה מקרית. הוא הודיע עליה לאיש קשר ישן שלו ב-GitHub, וכעבור שעה אחת בלבד שחרר את הקוד לציבור . הסיבה: פרצה קודמת שהוא דיווח עליה ל-VS Code, ושמיקרוסופט תיקנה בשקט, מבלי לתת לו קרדיט או תמורה.

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

פריצת ענק ל-VS Code: לחיצה בודדת על קישור מספיקה כדי לגנוב לכם את כל הקוד

מאחורי הקלעים של החשיפה: משבר אמון

Search, cite, and publish your own answer

People also ask

What is the short answer to "פריצת ענק ל-VS Code: לחיצה בודדת על קישור מספיקה כדי לגנוב לכם את כל הקוד"?

What are the key points to validate first?

What should I do next in practice?

Sources

Comments

איך המתקפה עובדת: ארבעה שלבים להשתלטות

1. העברת הקשות מקלדת מ-Webview

2. הזרקת הקשות סינתטיות

3. אמון בתוספי Workspace מקומיים

4. גניבת טוקן OAuth

התגובה של מיקרוסופט

למה המקרה הזה שונה?

סוכני AI בסכנה: חמש פרצות Zero-Day נחשפו בפלטפורמת OpenClaw