Обычный переход по ссылке мог позволить злоумышленнику украсть доступ к приватным репозиториям GitHub. Эксперт «Группы Астра» Эдуард Тихомиров рассказал, почему для ключевых российских Git-платформ подобная атака не применима.
Уязвимость нашли в том, как Visual Studio Code обрабатывал нажатия клавиш внутри встроенных веб-окон. В случае с github.dev атака особенно опасна, потому что жертве достаточно открыть подготовленную ссылку.
github.dev позволяет открыть любой доступный пользователю репозиторий прямо в браузере, в облегчённой версии Visual Studio Code. Через такой редактор можно просматривать файлы, менять код, создавать запросы на слияние и делать коммиты. Для работы GitHub передаёт в github.dev токен OAuth, который позволяет действовать от имени пользователя, подробнее пишет Securitylab.
Автор раскрыл уязвимость публично 2 июня 2026 года. За час до публикации он сообщил о проблеме своему старому контакту в службе безопасности GitHub, после чего выложил описание и создал обращение в баг-трекере Visual Studio Code.
Новость прокомментировал технический директор GitFlic (входит в «Группу Астра») Эдуард Тихомиров: «Обнаруженная уязвимость в Visual Studio Code и github.dev — яркий пример того, как «удобство» зарубежных инструментов оборачивается критическими дырами в безопасности. Злоумышленник может украсть OAuth-токен и получить доступ к приватным репозиториям жертвы буквально одним кликом — из-за того, что редактор кода доверяет вредоносным веб-окнам и горячим клавишам.
Для ключевых российских Git-платформ, таких как GitFlic, подобная атака не применима в принципе. Мы используем собственные редакторы кода, полностью контролируем механизмы авторизации и не передаём управление через уязвимые веб-представления. Токены доступа жёстко привязаны к конкретному репозиторию и сессии, а любой сторонний код изолирован на уровне архитектуры.
Отечественные решения соответствующие принципам РБПО снижают риски взломов, поэтому мы рекомендуем использовать суверенное ПО, особенно компаниям с госучастием и КИИ». Проблемы и решения перехода на российские BMS-системы ИИ в госуправлении выходит из режима пилотов Больше чем гаджет: семь статусных подарков из Технопарка для тех, кто привык к лучшему
Источник: www.it-world.ru