Eine Sicherheitslücke befand sich in der Web-Version des Editors VS Code auf GitHub.dev. Darüber konnten Angreifer sämtliche Repos eines Opfers übernehmen. Hier hätten sie Lieferkettenangriffe mit weiterem Schadcode initiieren oder einen Maintainer gezielt angreifen können.

Aufgrund der Sicherehitslücke hätte jeder GitHub-Anwender über einen bösartigen Link schnell Opfer werden können. Angreifer hätten durch eine Kombination aus eingebetteten Vorschaufenstern mit von JavaScript erzeugten Tastenschlägen unbemerkt eine Extension installieren können, die das Zugangs-Token für sämtliche Repos klaut, auf die das Opfer Zugriff hat. Prinzipiell war auch die Desktop-Version davon betroffen.

Mittlerweile hat Microsoft Gegenmaßnahmen ergriffen. Es wird nun verhindert, dass Angreifer die Warnung vor einer nicht vertrauenswürdigen Umgebung ausschalten können.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE