Foto: SecurityWeek
Sigurnosni istraživač Ammar Askar otkrio je ozbiljnu ranjivost u Visual Studio Codeu, a detalje je objavio zajedno s proof-of-concept demonstracijom bez prethodne obavijesti Microsoftu. Prema opisu objavljenom 2. lipnja, riječ je o propustu koji napadaču može omogućiti krađu GitHub tokena i pristup repozitorijima korisnika, uključujući privatne repozitorije kojima žrtva ima pristup. Microsoft je zakrpu objavio 3. lipnja, nakon što je ranjivost u međuvremenu bila označena kao zero-day.
Iskorištavanje se temelji na posebno pripremljenom Jupyter notebooku. Kada korisnik otvori takav notebook na github.dev, laganoj web-verziji VS Codea koja radi u pregledniku, skriveni kôd unutar notebooka simulira pritiske tipki i instalira zlonamjerno proširenje. To proširenje potom tiho krade GitHub pristupni token i šalje ga napadaču. Prema opisu napada, dovoljno je da korisnik klikne na poveznicu koja vodi do zlonamjernog notebooka.
Korisnik je o zahtjevu za pristup obaviješten samo ako prije nije koristio github.dev. Napad, prema navodima, djeluje i na desktop verziju VS Codea, ali je tamo teže izvediv jer traži dodatnu interakciju žrtve. Istodobno, taj scenarij može dovesti i do udaljenog izvršavanja koda na uređaju žrtve. U objavi se navodi i da desktop verzija zasad izgleda ostaje nezakrpljena.
SecurityWeek je kontaktirao Microsoft za komentar i najavio da će članak ažurirati ako tvrtka odgovori. U istom izvještaju navodi se i da ovo nije prvi slučaj da je istraživač posljednjih tjedana javno objavio ranjivost Microsoftova proizvoda bez prethodne obavijesti dobavljaču i davanja vremena za zakrpu. Spominje se i da je Microsoft ranije reagirao prijetnjama pravnim akcijama protiv istraživača koji javno objavljuju zero-day propuste, a kasnije je pokušao ublažiti zabrinutost nakon negativnih reakcija sigurnosne zajednice.
Vezane vijesti
