https://cyberveille.ch/tags/malicious-vs-code-extension/ Recent content in Malicious vs Code Extension on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-zero-day-vs-code-github-dev-vol-de-tokens-oauth-github-via-divulgation-publique-immediate/ Sat, 13 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-13-zero-day-vs-code-github-dev-vol-de-tokens-oauth-github-via-divulgation-publique-immediate/ <p>📰 <strong>Source</strong> : SecurityAffairs, publié le 4 juin 2026. Le chercheur en sécurité <strong>Ammar Askar</strong> a découvert une vulnérabilité zero-day sérieuse dans <strong>github.dev</strong>, la version navigateur de <strong>Visual Studio Code</strong>, et a publié un <strong>exploit fonctionnel (PoC)</strong> une heure après en avoir informé un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenêtre de 90 jours.</p> <p>🔍 <strong>Nature de la vulnérabilité</strong> : Lorsque <code>github.com</code> transmet un <strong>token OAuth</strong> à <code>github.dev</code>, ce token n&rsquo;est pas limité au dépôt concerné. Il dispose d&rsquo;un accès complet à <strong>tous les dépôts publics et privés</strong> accessibles par l&rsquo;utilisateur. Un attaquant capable de modifier le fichier <code>.vscode/extensions.json</code> d&rsquo;un dépôt peut y recommander une <strong>extension VS Code malveillante</strong>.</p>