Zero-day VS Code / github.dev : vol de tokens OAuth GitHub via divulgation publique immédiate
📰 Source : SecurityAffairs, publié le 4 juin 2026. Le chercheur en sécurité Ammar Askar a découvert une vulnérabilité zero-day sérieuse dans github.dev, la version navigateur de Visual Studio Code, et a publié un exploit fonctionnel (PoC) une heure après en avoir informé un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenêtre de 90 jours. 🔍 Nature de la vulnérabilité : Lorsque github.com transmet un token OAuth à github.dev, ce token n’est pas limité au dépôt concerné. Il dispose d’un accès complet à tous les dépôts publics et privés accessibles par l’utilisateur. Un attaquant capable de modifier le fichier .vscode/extensions.json d’un dépôt peut y recommander une extension VS Code malveillante. ...