Kerentanan di github.dev / VSCode Web yang memungkinkan token GitHub dicuri hanya dengan klik tautan
(blog.ammaraskar.com)Tulisan ini menjelaskan kerentanan di github.dev / VSCode Web yang memungkinkan token GitHub dicuri hanya dengan klik tautan. Jika penyerang membuat pengguna membuka Jupyter notebook dari repositori GitHub yang dibuatnya di github.dev, ia dapat mengeksploitasi bug pada penanganan event keyboard di VSCode Webview untuk memasang ekstensi VSCode berbahaya, lalu ekstensi tersebut dapat membaca token GitHub API milik pengguna dan mencuri hak akses ke repositori, termasuk repo private.
Aplikasi/lingkungan yang harus dihindari
1. Tautan github.dev
Ini yang paling berbahaya. Sebaiknya jangan klik tautan github.dev/... yang dikirim orang tidak dikenal.
2. vscode.dev / VSCode Web
Lingkungan VSCode yang berjalan di browser juga memiliki risiko sejenis. Terutama jika notebook, pratinjau Markdown, dan pemasangan ekstensi saling terhubung di web, Anda perlu berhati-hati.
3. Membuka repositori yang tidak dikenal di aplikasi desktop VSCode
Dijelaskan bahwa VSCode desktop juga terdampak. Terutama jika Anda clone repo asing lalu membukanya, dan menjalankan notebook atau konten webview di dalamnya, hal itu bisa berbahaya.
4. File Jupyter Notebook .ipynb yang tidak dikenal
PoC dalam tulisan ini menggunakan JavaScript di dalam notebook. Sebaiknya jangan membuka file .ipynb dengan asal-usul yang tidak jelas.
5. Ekstensi VSCode yang direkomendasikan/dipasang otomatis
Anda perlu waspada terhadap rekomendasi/pemasangan ekstensi berbasis .vscode/extensions.json atau .vscode/extensions di dalam repositori. Hindari ekstensi dari publisher yang tidak dikenal, serta local workspace extension yang disertakan dalam repositori.
Yang perlu segera dilakukan
Jika Anda pernah menggunakan github.dev, hapus data situs/kuki/local storage situs github.dev di browser. Setelah itu, jangan buka tautan github.dev yang tidak dikenal. Jika benar-benar harus melihatnya, lebih aman memeriksa kodenya langsung di halaman web GitHub atau memakai profil browser yang terisolasi.
Belum ada komentar.