VS Code'daki Sıfır Gün Açığı: Tek Tıkla GitHub OAuth Token'ınız Nasıl Çalınıyor?

Araştırmacı, MSRC süreciyle bir daha uğraşmaya "hiç ilgisi olmadığını" açıkça belirtti . Daha önceki hata, ilk olarak GitHub'ın HackerOne programına bildirilmiş ve program, hatanın kapsamları dışında olduğunu ve MSRC'ye götürmesi gerektiğini açıkça söylemişti — bu bürokratik el değiştirme, bulguyu ödülsüz ve takdirden yoksun bıraktı .

Saldırı Nasıl Çalışıyor: Dört Aşamalı Bir Zincir

Bu istismar, üç zafiyeti birleştirerek github.dev'in tüm güvenlik sınırlarını aşan kusursuz bir zincir oluşturuyor.

1. Webview Klavye Olay İletimi

Jupyter Notebook'lar, Markdown önizlemeleri ve benzeri içerikleri işlemek için kullanılan izole korumalı alanlar olan VS Code'un webview'leri, güvenli bölmeler olarak tasarlanmıştır. Ancak klavye kısayollarının bu korumalı alan içinde çalışmasını sağlamak için editör, anahtar olaylarını korumalı alandaki webview'den ana editör sürecine iletir .

2. Sentetik Tuş Vuruşu Enjeksiyonu

Saldırganın deposundaki zararlı bir Jupyter Notebook dosyası, korumalı alandaki webview'den doğrudan VS Code ana penceresine sentetik klavye olayları (Ctrl+Shift+A, Ctrl+F1) gönderir . Bu tuş vuruşları sessizce "Eklenti Yükle" komutunu tetikler ve normalde güvenilmeyen eklentileri engelleyen yayıncı doğrulama güven iletişim kutusunu atlatır .

3. Yerel Çalışma Alanı Eklenti Güveni

Saldırganın deposu, .vscode/extensions klasöründe saklanan önceden paketlenmiş bir VS Code eklentisi içerir. github.dev, çalışma alanıyla birlikte gelen eklentileri örtük olarak güvenilir kabul ettiğinden, zararlı eklenti hiçbir kullanıcı izin istemi olmadan yüklenir .

4. OAuth Token'ının Ele Geçirilmesi

Eklenti çalışmaya başladığında, github.dev'in çalışma zamanı ortamına tam erişim kazanır. Bu ortam, github.dev'de herhangi bir depo açıldığında github.com'un sessizce POST yöntemiyle gönderdiği bir GitHub OAuth token'ını barındırır. Kritik olarak, bu token yalnızca açılan depo ile sınırlı değildir — kullanıcının tüm erişim ayrıcalıklarını taşır . Eklenti token'ı alır, kurbanın özel repo listesi için GitHub API'sini sorgular ve hem token'ı hem de repo meta verilerini saldırgana sızdırır .

Sonuç: tek bir bağlantı tıklamasıyla elde edilen, kurbanın dokunabildiği tüm genel ve özel repolara tam okuma ve yazma erişimi .

Microsoft'un Yanıtı

Microsoft, güvenlik açığını 2 Haziran 2026'da kabul etti ve kendi servisleri — yani github.dev ve Web için VS Code — için sorunun giderildiğini doğruladı .

3 Haziran'da Microsoft, tarayıcı tabanlı Notebook'ları açarken bir güven onay adımı eklemek ve eklenti yükleme komutunun keyfi çağrı bilgilerini kabul etmesini engellemek dahil olmak üzere sunucu tarafı düzeltmeler yayınladı . 4 Haziran'a kadar ek webview olay işleme kısıtlamaları devreye alındı .

Microsoft, sorunun VS Code Masaüstü sürümünü etkilemediğini belirtti . Ancak, altta yatan model — çalışma alanı eklentilerine yetersiz doğrulamayla güvenmek — güvenilmeyen repoları yerel olarak açan herhangi bir VS Code kullanıcısı için endişe yaratıyor.

Bunu Farklı Kılan Ne?

Bu istismar zinciri üç nedenden dolayı dikkat çekicidir.

Birincisi, saldırı yüzeyi bir URL'dir. Kurbanların bir dosya indirmesine, terminal açmasına veya bir izni onaylamasına gerek yoktur. github.dev'e yönlendiren bir tarayıcı bağlantısı tek ön koşuldur.

İkincisi, token kapsamı endişe verici derecede geniştir. github.com'un github.dev'e ilettiği OAuth token'ı, görüntülenen repoyla sınırlı değildir. Kullanıcının tüm GitHub izinlerini taşır; bu, halka açık bir açık kaynak projesinde çalışan bir geliştiriciyi tehlikeye atan bir saldırganın, o geliştiricinin işvereninin özel repolarına ait kimlik bilgilerini de ele geçirdiği anlamına gelir .

Üçüncüsü, çalışma alanı güveni tersine dönmüştür. Yerel geliştirmeyi sorunsuz hale getiren özellik — bir projeyle birlikte gelen eklentilere güvenmek — zararlı yükün otomatik olarak yürütülmesini sağlayan mekanizmanın ta kendisi haline gelir.

OpenClaw AI Ajanı: Beş Sıfır Gün Kimlik Taklidi Açığı

Paralel bir açıklamada, araştırmacılar, saldırganların izin verilenler listesindeki (allowlist) kullanıcıları taklit etmesine ve birden fazla mesajlaşma platformunda güvenilir AI ajanı erişimini ele geçirmesine olanak tanıyan OpenClaw AI ajan çerçevesindeki beş sıfır gün güvenlik açığını yayınladı .

Temel neden mimari bir kusurdur: OpenClaw, Telegram, Slack, Discord, WhatsApp ve daha fazlası olmak üzere 15 farklı kanal adaptörünü destekler ve her bir adaptör, kendi izin verilenler listesi yetkilendirmesini ve webhook doğrulamasını bağımsız olarak uygular . İzin verilenler listesi için kullanılan, insan tarafından okunabilir görünen adlar gibi güvenlik açısından kritik kimlik alanları, platform seviyesinde değiştirilebilir ve farklı adaptörler arasında tutarsız bir şekilde kararlı kullanıcı kimliklerine dönüştürülür .

Merkezi bir politika uygulama katmanı olmadığı için saldırganlar şunları yapabilir:

• Bir kanalda, yetkili bir kimlikle eşleşecek şekilde görünen adlarını değiştirerek izin verilenler listesindeki bir kullanıcıyı taklit edebilir .
• Bir kanalda çalışan ancak diğerinde başarısız olan güven kontrollerini atlatmak için farklı kanal uzantıları arasındaki tutarsız kimlik çözümlemesini istismar edebilir .
• Genellikle kabuk erişimi, API anahtarları ve dosya sistemi izinlerini içeren AI ajanının erişim ayrıcalıklarını, herhangi bir geçerli kimlik bilgisine ihtiyaç duymadan ele geçirebilir .

3 Haziran 2026 tarihli bir arXiv güvenlik analizi, birden fazla mimari katmanda (yürütme politikası, ağ geçidi, kanal, korumalı alan, tarayıcı, eklenti ve istem) zafiyetler tespit etti ve baskın yapısal modelin, birleşik politika sınırları yerine katman başına, çağrı yeri başına güven uygulaması olduğunu belirtti . Analiz, ayrık mimari zayıflıkların, tamamlanmış kimlik doğrulaması olmayan uzaktan kod yürütme (RCE) yollarına dönüştüğünü ortaya koydu .

Singapur Siber Güvenlik Ajansı (CSA), Mayıs 2026 sonlarında yamalanmamış güvenlik açıkları, zayıf erişim kontrolleri ve ClawHub pazarındaki zararlı üçüncü taraf becerilerin riski hakkında uyarıda bulunan bir danışma belgesi yayınladı .