1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


TugaTech » Software » Noticias de Software » Nova falha zero-day no Visual Studio Code rouba tokens do GitHub

VS Code logo

Um investigador de segurança publicou o código de exploração para uma vulnerabilidade zero-day no Visual Studio Code, que permite a atacantes roubar tokens de autenticação do GitHub. Os detalhes técnicos foram divulgados no blogue de Ammar Askar, enquanto a documentação sobre a classificação de vulnerabilidades ativas pode ser consultada na página de gestão de vulnerabilidades.

Como funciona o roubo de credenciais

A falha permite que extensões maliciosas sejam instaladas para extrair tokens OAuth quando estes são transmitidos para o github.dev, a versão do editor acessível através do navegador. O ataque explora o sistema isolado de mensagens webview da plataforma. A prova de conceito demonstra que é possível executar JavaScript malicioso dentro desta vista para simular batimentos de teclas no editor principal.

Desta forma, o atacante consegue instalar uma extensão que recolhe o token enviado, obtendo acesso total a todos os repositórios privados da vítima através da API, sem que o acesso esteja limitado a um único repositório específico.

detalhes do ataque em funcionamento

Até que exista uma correção oficial, os utilizadores podem proteger-se limpando os cookies e os dados locais do site github.dev no navegador, acedendo às definições na barra de endereço. Este passo garante que a plataforma exiba um aviso de segurança explícito antes de permitir que uma extensão inicie sessão na conta.

Frustração com as políticas de segurança

A decisão de publicar o código sem aguardar a habitual janela de correção ocorreu devido a experiências negativas anteriores com o Centro de Resposta de Segurança da Microsoft. O investigador notificou a plataforma de alojamento de código apenas uma hora antes da revelação pública. Askar relatou que falhas anteriores no editor foram corrigidas silenciosamente, sem qualquer crédito ou reconhecimento do verdadeiro impacto para a segurança.

Esta atitude reflete um descontentamento partilhado por outros especialistas do setor. Recentemente, um perfil anónimo conhecido como Nightmare Eclipse também divulgou uma série de falhas de elevação de privilégios no Windows, que incluem o BlueHammer, RedSun, GreenPlasma, MiniPlasma, YellowKey e UnDefend. A resposta inicial da tecnológica a estas fugas envolveu ameaças de processos legais e o envolvimento das autoridades policiais.

Adicionar o TugaTech
como Fonte Preferida no Google
Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!

Comentar





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech