答案已發布32 來源
一個撳擊嘅陰謀:VS Code 漏洞點樣一Click偷晒你全部GitHub權限
2026年6月2號,安全研究員公開咗一個完全可用嘅攻擊程式,證明只要喺github.dev㩒一個連結,就可以偷你GitHub OAuth Token,攻擊者會得到你全部repo嘅讀寫權限,包括私人倉庫。成個過程唔使30秒 [6][7][9]。 攻擊利用Webview嘅鍵盤事件轉發機制,模擬按鍵靜靜雞裝惡意Extension,繞過晒信任對話框。研究員因為之前回報嘅Bug被微軟偷偷修復冇俾Credit,索性直接公開漏洞,連CVE編號都冇申請 [11][12][17]。
426K0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What are the details of the VS Code zero-day exploit publicly released by researcher Ammar Askar over a Microsoft disclosure dispute, includ. Article summary: ## VS Code Zero-Day (Ammar Askar Disclosure). Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "A security researcher has released exploit code for a Visual Studio Code (VS Code) zero-day vulnerability that allows attackers to steal GitHub authentication tokens by tricking us" source context "VS Code zero-day lets hackers steal GitHub tokens in one click" Reference image 2: visual subject "Ammar Askar has leaked a proof-of-concept (PoC) exploit for a Visual Studio Code (VS Code) vulnerability, affecting anyone who has ever used" source context "Ethical Hacking News" Sty
2026年6月2號,安全研究員 Ammar Askar 掟出一個全副武裝嘅概念驗證攻擊程式,將一個撳擊變成完整嘅 GitHub 帳戶奪取。目標唔係咩鬼祟嘅第三方網站——而係 github.dev,微軟自己嘅瀏覽器版 VS Code 編輯器。只要開一個精心設計嘅 Repository 連結,受害人就不知不覺咁交出一個 OAuth Token,俾攻擊者有晒讀寫權限去掂佢所有掂得到嘅 Repo,包括私人嘅 。
成條攻擊鏈唔使 30 秒就完成,除咗嗰最初嘅一撳之外,完全唔需要受害人再有任何互動。呢單嘢冇申請 CVE 編號,成個標準漏洞披露流程被直接繞過 。
披露背後嘅信任破裂
Askar 今次直接繞過微軟安全回應中心(MSRC)掟 PoC 出街,係刻意而為。佢通知咗 GitHub 一個舊相識,一個鐘頭之後就公開咗攻擊程式 。原因係:佢之前回報過一個 VS Code 漏洞,微軟竟然靜靜雞修復咗,提都冇提佢個名
。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「一個撳擊嘅陰謀:VS Code 漏洞點樣一Click偷晒你全部GitHub權限」的簡短答案是什麼?
2026年6月2號,安全研究員公開咗一個完全可用嘅攻擊程式,證明只要喺github.dev㩒一個連結,就可以偷你GitHub OAuth Token,攻擊者會得到你全部repo嘅讀寫權限,包括私人倉庫。成個過程唔使30秒 [6][7][9]。
首先要驗證的關鍵點是什麼?
2026年6月2號,安全研究員公開咗一個完全可用嘅攻擊程式,證明只要喺github.dev㩒一個連結,就可以偷你GitHub OAuth Token,攻擊者會得到你全部repo嘅讀寫權限,包括私人倉庫。成個過程唔使30秒 [6][7][9]。 攻擊利用Webview嘅鍵盤事件轉發機制,模擬按鍵靜靜雞裝惡意Extension,繞過晒信任對話框。研究員因為之前回報嘅Bug被微軟偷偷修復冇俾Credit,索性直接公開漏洞,連CVE編號都冇申請 [11][12][17]。
接下來在實務上我該做什麼?
微軟喺6月2號確認漏洞,之後幾日陸續推出伺服器端修復;另外,OpenClaw AI代理框架都被公佈咗五個零日漏洞,事關每個通訊平台Adapter各自為政咁做身份認證,令攻擊者可以冒充受信任用戶 [22][28]。
來源
- cyberkendra.comResearcher Drops PoC for 1-Click GitHub Token Theft via VSCode ...
- bleepingcomputer.comVS Code zero-day lets hackers steal GitHub tokens in one click
- aiweekly.coVSCode Bug Lets Malicious Repos Steal GitHub Tokens - AI Weekly
- pasqualepillitteri.itVS Code Bug: One Click Steals Your GitHub OAuth Token and ...
- theregister.comAnother bug hunter leaks Microsoft exploits in defiance of company’s handling of vulnerability disclosures
Loading comments...
Comments
0 comments