คำตอบเผยแพร่แล้ว33 แหล่งที่มา
ซีโร่เดย์ VS Code: แค่คลิกเดียว GitHub Token ของคุณก็ตกเป็นของแฮกเกอร์
2 มิ.ย. 2026 นักวิจัยปล่อย Exploit ตัวเต็มที่ใช้ช่องโหว่ใน github.dev ให้แฮกเกอร์ขโมย GitHub OAuth Token ได้ด้วยการคลิกลิงก์ครั้งเดียว เข้าถึงทุก Repository รวมถึง Private ได้ทันที การโจมตีใช้ประโยชน์จากการส่งต่อคีย์ลัดใน WebView ติดตั้งส่วนขยายมุ่งร้ายแบบเงียบๆ ภายใน 30 วินาที ข้ามกล่องยืนยันความน่าเชื่อถือไปอย่างแ...
426K0
AI พรอมต์
openai.comCreate a landscape editorial hero image for this Studio Global article: What are the details of the VS Code zero-day exploit publicly released by researcher Ammar Askar over a Microsoft disclosure dispute, includ. Article summary: ## VS Code Zero-Day (Ammar Askar Disclosure). Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "A security researcher has released exploit code for a Visual Studio Code (VS Code) zero-day vulnerability that allows attackers to steal GitHub authentication tokens by tricking us" source context "VS Code zero-day lets hackers steal GitHub tokens in one click" Reference image 2: visual subject "Ammar Askar has leaked a proof-of-concept (PoC) exploit for a Visual Studio Code (VS Code) vulnerability, affecting anyone who has ever used" source context "Ethical Hacking News" Sty
เมื่อวันที่ 2 มิถุนายน 2026 นักวิจัยความปลอดภัย Ammar Askar ได้ปล่อยชุดโค้ดพิสูจน์ช่องโหว่ (Proof-of-Concept) ที่สมบูรณ์แบบที่สุดชุดหนึ่ง ซึ่งเปลี่ยนการคลิกเมาส์เพียงครั้งเดียวให้กลายเป็นการเจาะระบบบัญชี GitHub ได้ทั้งบัญชี เป้าหมายไม่ใช่เว็บไซต์นอกหรือหน้าแปลกปลอมใดๆ แต่อยู่บน github.dev ซึ่งเป็น VS Code เวอร์ชันเบราว์เซอร์ที่พัฒนาโดยไมโครซอฟท์เอง
ผู้เสียหายแค่เผลอคลิกลิงก์ที่ถูกสร้างขึ้นมาอย่างแนบเนียนก็จะถูกขโมย OAuth Token โดยไม่รู้ตัว ซึ่ง Token นี้มีสิทธิ์ในการอ่านและเขียน Repository ทุกตัวที่เจ้าของบัญชีเข้าถึงได้ รวมถึง Private Repository ส่วนตัวสุดหวง
และที่น่าตกใจคือ ทั้งหมดนี้ใช้เวลาทำงานน้อยกว่า 30 วินาที โดยผู้ใช้ไม่ต้องทำอะไรอีกเลยหลังจากคลิกครั้งแรก ที่สำคัญคือไม่มีเลข CVE ใดๆ ถูกระบุ และช่องโหว่นี้ถูกเปิดเผยโดยไม่ผ่านกระบวนการแจ้งเตือนมาตรฐาน (MSRC) ของไมโครซอฟท์เลยแม้แต่น้อย
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
คนยังถาม
คำตอบสั้น ๆ สำหรับ "ซีโร่เดย์ VS Code: แค่คลิกเดียว GitHub Token ของคุณก็ตกเป็นของแฮกเกอร์" คืออะไร
2 มิ.ย. 2026 นักวิจัยปล่อย Exploit ตัวเต็มที่ใช้ช่องโหว่ใน github.dev ให้แฮกเกอร์ขโมย GitHub OAuth Token ได้ด้วยการคลิกลิงก์ครั้งเดียว เข้าถึงทุก Repository รวมถึง Private ได้ทันที
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?
2 มิ.ย. 2026 นักวิจัยปล่อย Exploit ตัวเต็มที่ใช้ช่องโหว่ใน github.dev ให้แฮกเกอร์ขโมย GitHub OAuth Token ได้ด้วยการคลิกลิงก์ครั้งเดียว เข้าถึงทุก Repository รวมถึง Private ได้ทันที การโจมตีใช้ประโยชน์จากการส่งต่อคีย์ลัดใน WebView ติดตั้งส่วนขยายมุ่งร้ายแบบเงียบๆ ภายใน 30 วินาที ข้ามกล่องยืนยันความน่าเชื่อถือไปอย่างแนบเนียน
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?
สาเหตุการเปิดโปงสู่สาธารณะมาจากความขัดแย้งที่ไมโครซอฟท์แก้บั๊กเก่าแบบเงียบๆ โดยไม่ให้เครดิต ทำให้แหกกฎการรับแจ้งปกติ ไมโครซอฟท์ออกแพตช์ฝั่งเซิร์ฟเวอร์แล้ว ขณะที่ OpenClaw AI Agent ก็กำลังถูกถล่มด้วย 5 Zero Day จากการต...
แหล่งที่มา
- cyberkendra.comResearcher Drops PoC for 1-Click GitHub Token Theft via VSCode ...
- bleepingcomputer.comVS Code zero-day lets hackers steal GitHub tokens in one click
- gigazine.netA vulnerability has been reported in GitHub where access tokens ...
- aiweekly.coVSCode Bug Lets Malicious Repos Steal GitHub Tokens - AI Weekly
- pasqualepillitteri.itVS Code Bug: One Click Steals Your GitHub OAuth Token and ...
Loading comments...
Comments
0 comments