ช่องโหว่ใน github.dev / VSCode Web ที่แค่คลิกลิงก์ก็อาจถูกขโมย GitHub token ได้
(blog.ammaraskar.com)บทความนี้อธิบาย ช่องโหว่ใน github.dev / VSCode Web ที่แค่คลิกลิงก์ก็อาจถูกขโมย GitHub token ได้ โดยหากผู้โจมตีทำให้เหยื่อเปิด Jupyter notebook ใน GitHub repository ที่สร้างขึ้นมาเองผ่าน github.dev ก็สามารถอาศัยบั๊กในการจัดการคีย์บอร์ดอีเวนต์ของ VSCode Webview เพื่อติดตั้ง VSCode extension ที่เป็นอันตราย และ extension นั้นสามารถอ่าน GitHub API token ของผู้ใช้เพื่อ ยึดสิทธิ์การเข้าถึง repository รวมถึง private repo ได้
แอป/สภาพแวดล้อมที่ควรหลีกเลี่ยง
1. ลิงก์ github.dev
อันตรายที่สุด ควรหลีกเลี่ยงการคลิกลิงก์ github.dev/... ที่ส่งมาจากคนไม่รู้จัก
2. vscode.dev / VSCode Web
สภาพแวดล้อม VSCode ที่ทำงานบนเบราว์เซอร์ก็มีความเสี่ยงในลักษณะเดียวกัน โดยเฉพาะเมื่อมีการใช้งาน notebook, Markdown preview และการติดตั้ง extension บนเว็บร่วมกัน ควรระวังเป็นพิเศษ
3. การเปิด repository ที่ไม่รู้จักในแอป VSCode เดสก์ท็อป
มีการอธิบายว่าเดสก์ท็อป VSCode ก็ได้รับผลกระทบเช่นกัน โดยเฉพาะเมื่อ clone แล้วเปิด repo ที่ไม่คุ้นเคย และรัน notebook หรือเนื้อหา webview ภายในนั้น ก็อาจมีความเสี่ยงได้
4. ไฟล์ Jupyter Notebook .ipynb ที่ไม่รู้แหล่งที่มา
PoC ในบทความนี้ใช้ JavaScript ภายใน notebook ดังนั้นควรหลีกเลี่ยงการเปิดไฟล์ .ipynb ที่ไม่ทราบแหล่งที่มา
5. VSCode extension ที่ถูกแนะนำหรือติดตั้งอัตโนมัติ
ควรระวังการแนะนำหรือติดตั้ง extension ที่อิงจาก .vscode/extensions.json หรือ .vscode/extensions ภายใน repository หลีกเลี่ยง extension จาก publisher ที่ไม่รู้จัก และ local workspace extension ที่รวมมากับ repository
สิ่งที่ควรทำทันที
หากเคยใช้งาน github.dev มาก่อน ให้ลบ site data/cookies/local storage ของ github.dev ออกจากเบราว์เซอร์ หลังจากนั้นอย่าเปิดลิงก์ github.dev ที่ไม่รู้จัก และหากจำเป็นต้องดูจริง ๆ ควรตรวจโค้ดผ่านหน้าเว็บ GitHub โดยตรง หรือใช้โปรไฟล์เบราว์เซอร์แบบแยกสภาพแวดล้อมเพื่อความปลอดภัยกว่า
ยังไม่มีความคิดเห็น