Faille critique dans GitHub Copilot Chat: exfiltration silencieuse via contournement CSP et prompt injection
Selon Legit Security, des chercheurs ont dĂ©couvert une vulnĂ©rabilitĂ© critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant lâexfiltration silencieuse de secrets et de code source depuis des dĂ©pĂŽts privĂ©s, tout en manipulant les rĂ©ponses/suggestions de Copilot. âą Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via lâinfrastructure Camo proxy de GitHub et des prompt injections distantes insĂ©rĂ©es dans des commentaires invisibles de descriptions de pull requests. ExploitĂ©e, elle permettait dâaccĂ©der Ă des dĂ©pĂŽts privĂ©s avec les permissions de la victime et de voler des informations sensibles (dont des vulnĂ©rabilitĂ©s zero-day et des clĂ©s AWS), et de contrĂŽler les rĂ©ponses/suggestions de Copilot. ...