GitHub.dev Sicherheitslücke: OAuth-Token-Diebstahl mit nur einem Klick
github security developer-tools news
trending_up Trend: github

GitHub.dev Sicherheitslücke: OAuth-Token-Diebstahl mit nur einem Klick

calendar_month 6. Juni 2026 update Aktualisiert: 8. Juni 2026

🔄 Update — 08. Juni 2026: Neue Details zur VS Code Webview-Schwachstelle

Die Sicherheitslücke in der Webview-Implementierung von Visual Studio Code wird nun auch in Bezug auf die Desktop-Versionen intensiver diskutiert. Neue Berichte bestätigen, dass der Angriffsvektor über bösartige Links weiterhin ein hohes Risiko für Entwickler darstellt, die Drittanbieter-Erweiterungen nutzen.

Was ist neu?

  • Patch-Status Unsicherheit: Während GitHub.dev weitgehend abgesichert ist, bleibt der exakte Patch-Status für verschiedene VS Code Versionen (Stable vs. Insiders) Gegenstand von Untersuchungen.
  • Erweiterte Angriffsvektoren: Es wurden weitere Details bekannt, wie Webviews gezielt manipuliert werden können, um OAuth-Token auch in lokalen Umgebungen zu exfiltrieren.

Warum es den Artikel ergänzt

Diese Informationen erweitern den ursprünglichen Bericht über GitHub.dev um die kritische Komponente der VS Code Desktop-Sicherheit und unterstreichen die Notwendigkeit für sofortige Patch-Verifizierungen durch die Nutzer.

Zusammenfassung

Eine kritische Sicherheitslücke in der webbasierten Entwicklungsumgebung GitHub.dev (basierend auf VS Code) ermöglichte es Angreifern, OAuth-Token von Benutzern zu stehlen. Durch einfaches Anklicken eines Links konnten Hacker vollen Lese- und Schreibzugriff auf alle privaten Repositories eines Opfers erhalten. Die Schwachstelle wurde Anfang Juni 2026 vom Sicherheitsforscher Ammar Askar aufgedeckt und inzwischen von Microsoft behoben.

Was ist passiert?

Der Sicherheitsforscher Ammar Askar veröffentlichte Details zu einem “One-Click”-Exploit in GitHub.dev. Wenn ein Benutzer ein bösartiges Repository in der Browser-Version von VS Code öffnete, konnte ein darin enthaltener bösartiger Code (getarnt in Dateien wie Jupyter Notebooks) JavaScript-Code innerhalb eines Webviews ausführen. Dieser Code nutzte interne Kommunikationskanäle (postMessage), um die Command Palette zu öffnen und unbemerkt eine bösartige Workspace-Erweiterung zu installieren. Diese Erweiterung exfiltrierte dann den breit gefächerten OAuth-Token des Benutzers an einen vom Angreifer kontrollierten Server.

Warum es wichtig ist

OAuth-Token sind der Schlüssel zu modernen Entwicklungs-Workflows. In diesem Fall war der Token nicht auf das spezifische Repository beschränkt, sondern besaß dieselben Berechtigungen wie der angemeldete Benutzer. Dies bedeutete, dass ein Angreifer nicht nur Zugriff auf den Code im bösartigen Repository hatte, sondern auf alle privaten Projekte, auf die der Benutzer Zugriff hatte. Da GitHub.dev oft für schnelle Code-Reviews genutzt wird, war die Hemmschwelle für das Öffnen unbekannter Links besonders niedrig.

Beweise

Der Forscher veröffentlichte am 2. Juni 2026 einen Proof-of-Concept (PoC). Er entschied sich für eine sofortige Veröffentlichung, nachdem er in der Vergangenheit unbefriedigende Erfahrungen mit dem Microsoft Security Response Center (MSRC) gemacht hatte. Heise Online und andere Fachmedien bestätigten den Angriff und berichteten über die schnelle Reaktion von Microsoft.

Analyse

Die Sicherheitslücke resultierte aus einer Kette von Design-Entscheidungen:

  1. Breite Token-Berechtigungen: GitHub.dev erhält standardmäßig sehr weitreichende Berechtigungen.
  2. Webview-Isolierung: Die Kommunikation zwischen Webviews und dem VS Code Kern konnte manipuliert werden.
  3. Vertrauensmodell: Workspace-spezifische Erweiterungen konnten unter bestimmten Bedingungen ohne explizite Zustimmung des Nutzers installiert oder aktiviert werden. Der Exploit zeigt, wie komplex die Absicherung von browserbasierten IDEs ist, die lokalen Code in einer Cloud-Umgebung ausführen.

Praktische Erkenntnisse

Betroffene Nutzer sollten folgende Schritte unternehmen:

  • Token widerrufen: In den GitHub-Einstellungen alle verdächtigen OAuth-Token überprüfen und gegebenenfalls widerrufen (insbesondere für VS Code/GitHub.dev).
  • Sitzungsdaten löschen: Cookies und Websitedaten für github.dev im Browser löschen, um eine neue Authentifizierung und Trust-Warnungen zu erzwingen.
  • Repositories prüfen: Private Repositories auf unbefugte Commits oder verdächtige Aktivitäten untersuchen.

Offene Fragen

Es bleibt unklar, ob diese Schwachstelle bereits vor der Veröffentlichung durch Ammar Askar aktiv von Angreifern ausgenutzt wurde. Zudem wirft der Fall Fragen zum Bug-Bounty-Prozess bei Microsoft auf, da der Forscher den Weg der öffentlichen Offenlegung wählte.

Quellen

  1. Heise Online: Attack on GitHub.dev steals OAuth token for all repos
  2. The Hacker News: GitHub.dev Zero-Day Vulnerability Discovered
  3. Cybersecurity News: One-Click Exploit in VS Code Web