Kradzież tokena GitHub jednym kliknięciem przez błąd w VSCode
Jak działa atak 1-click na tokeny GitHub w VSCode? Podatność w implementacji webview Visual Studio Code pozwala atakującym na kradzież tokenów OAuth GitHub poprzez nakłonienie ofiary do kliknięcia jednego złośliwego linku. Luka tkwi w mechanizmie obsługi URI w komponencie webview edytora Microsoftu. Atakujący może spreparować adres URL, który po otwarciu w przeglądarce uruchomi lokalną instancję […]