Une nouvelle vulnérabilité de type “zero-day” découverte dans Visual Studio Code (VS Code) permet aux attaquants de dérober des jetons d’authentification GitHub en incitant les utilisateurs à cliquer sur un lien malveillant. Cette faille, qui n’a pas encore été corrigée ni assignée à un identifiant CVE, a été révélée par un chercheur en sécurité. Il a détaillé comment elle permet l’installation d’extensions nuisibles qui capturent les jetons OAuth de GitHub. Une fois interceptés, ces jetons offrent un accès complet à tous les dépôts GitHub auxquels la victime a accès, ce qui constitue un risque de sécurité majeur. Les utilisateurs peuvent atténuer la menace en effaçant les cookies et les données de site pour github.dev dans les paramètres de leur navigateur. Le chercheur a choisi de divulguer immédiatement cette information au public en raison d’expériences négatives passées avec la réponse de Microsoft en matière de sécurité, soulignant son insatisfaction quant au traitement des rapports de bogues précédents de VS Code. Cet incident s’inscrit dans une tendance plus large de divulgations de vulnérabilités zero-day affectant les produits Microsoft. L’entreprise a exprimé son engagement à traiter rapidement les problèmes de sécurité tout en reconnaissant le rôle crucial de la communauté de recherche en sécurité.
Comment les hackers peuvent-ils exploiter une faille zero-day de VS Code pour voler des jetons GitHub ?
