{"id":325788,"date":"2026-06-03T09:09:58","date_gmt":"2026-06-03T07:09:58","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325788"},"modified":"2026-06-03T10:12:33","modified_gmt":"2026-06-03T08:12:33","slug":"github-drama-1-sicherheitsforscher-veroeffentlicht-0-day-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/03\/github-drama-1-sicherheitsforscher-veroeffentlicht-0-day-schwachstelle\/","title":{"rendered":"GitHub-Drama 1: Sicherheitsforscher ver\u00f6ffentlicht 0-Day-Schwachstelle"},"content":{"rendered":"

\"SicherheitEin weiterer Sicherheitsforscher hat die koordinierte Offenlegung von Schwachstellen beim Microsoft Security Resource Center (MSRC) \u00fcbersprungen und eine kritische 1-Klick-GitHub-Schwachstelle \u00f6ffentlich gemacht. Mit der Schwachstelle in VSCode lassen sich GitHub-Tokens stehlen, und der Entdecker hatte keine Lust mit dem MSRC zu diskutieren.<\/p>\n

<\/p>\n

Einige Vorbemerkungen<\/h2>\n

\"\"\u00dcber den Clinch des Microsoft Security Resource Center (MSRC) mit dem Sicherheitsforscher Nightmare Eclipse hatte ich im Blog ausf\u00fchrlicher berichtet (siehe Links am Artikelende). Der in der Sicherheitscommunity entstandene \"Flurschaden\" ist durch das Verhalten Microsofts, zumindest nach meinem Eindruck, betr\u00e4chtlich.<\/p>\n

Aber jetzt geht es um den von Software-Entwicklern genutzten Dienst GitHub, der aber vor einigen Jahren von Microsoft \u00fcbernommen wurde. Microsoft hat auch seinen Copiloten mit GitHub verheiratet. Das ist das Hintergrundwissen, was man etwas im Kopf behalten sollte, um nachfolgende Informationen einstufen zu k\u00f6nnen.<\/p>\n

Eine 0-Day-Schwachstelle bei GitHub<\/h2>\n

Der Sicherheitsforscher Ammar Askar hat festgestellt, dass die in einer Sandbox ausgef\u00fchrten \"Webviews\" von VSCode Tastaturereignisse an den Haupteditor weitergeben. Laut nachfolgendem Tweet<\/a> kann ein, \u00fcber einen Link ge\u00f6ffnetes b\u00f6sartiges, Repository Tastenanschl\u00e4ge simulieren, sowie eine lokale Erweiterung installieren, die die Vertrauenspr\u00fcfung des Herausgebers durch VSCode umgeht, und Token des Entwicklers abgreift.<\/p>\n

\"GitHub<\/a><\/p>\n

Es hei\u00dft, dass f\u00fcr einen Angreifer bereits das einfache Anklicken eines Links durch den Entwickler reicht, um ein GitHub-Token abzugreifen. \u00dcber das GitHub-Token erh\u00e4lt der Angreifer Zugriff auf alle Repositories des Entwicklers und kann dort \u00c4nderungen vornehmen (gilt auch f\u00fcr private Repositories).<\/p>\n

Der Bug liegt in github[.]dev, dem browserbasierten VSCode-Editor von GitHub. Dieser \u00fcbermittelt dem Browser ein OAuth-Token \u00fcbermittelt, dessen Geltungsbereich nicht auf ein einzelnes Repo beschr\u00e4nkt ist. Mit diesem Token kann der Angreifer auf alles zugreifen, worauf auch der Entwickler auch Zugriff habt.<\/p>\n

Ammar Askar sagt laut obigem Tweet, dass er diese Sicherheitsl\u00fccke an das GitHub-Entwicklerteam melden wollte. Der Sicherheitsforscher berichtet, dass GitHub ihm bei der Meldung von github[.]dev<\/em>-Fehlern mitteilt, er solle sich an MSRC wenden, denn die Fehler l\u00e4gen au\u00dferhalb ihres Zust\u00e4ndigkeitsbereichs.<\/p>\n

Das Problem: Ein zuvor von diesem Sicherheitsforscher gemeldeter VSCode-Fehler sei stillschweigend behoben worden, ohne dass diesem daf\u00fcr Anerkennung gezollt wurde. Ammar Askar wird mit der Aussage<\/a> \"Ich m\u00f6chte mich wirklich nicht mit dem MSRC wegen VSCode-Fehlern auseinandersetzen.\" aus einen kurzen Post auf reddit.com<\/a> mit einer Diskussion zitiert. Ein Kommentator fasste laut obigem Tweet die Stimmung so zusammen: \"MSRC hat sich in einen Feedback-Hub verwandelt.\"<\/p>\n

\"GitHub<\/a><\/p>\n

Ein zweiter Tweet<\/a> enth\u00e4lt noch obige Screenshots, die das Problem verdeutlichen. Der Sicherheitsforscher\u00a0hat einen funktionierenden Proof-of-Concept ver\u00f6ffentlicht. Ammar Askar weist im\u00a0Proof-of-Concept darauf hin, dass die Desktop-Version von VS Code unter schwerer auszunutzenden Bedingungen ebenfalls betroffen sein k\u00f6nnte. Er empfiehlt, die Daten der Website http:\/\/github[.]dev<\/em> zu l\u00f6schen, um das Risiko zu mindern, solange das Problem \u00f6ffentlich bekannt ist.<\/p>\n

Der Sicherheitsforscher hat die Details am 2. Juni 2026 in einem Blog-Post\u00a0 1-Click GitHub Token Stealing via a VSCode Bug<\/a> ver\u00f6ffentlicht.<\/p>\n

Weiterer Sicherheitsforscher auf GitHub gesperrt<\/h2>\n

Noch ein kleiner Nachtrag, der mir die Nacht auf X untergekommen ist, den ich \"for the Records\" mal mit aufnehme. Nicht nur Nightmare Eclipse wurde das GitHub-Konto gesperrt. Ein zweiter Sicherheitsforscher hat laut nachfolgendem Tweet<\/a> das gleiche Problem.<\/p>\n

\"GitHub<\/a><\/p>\n

Der Malware-Forscher @5mukx hat es auf X in einer Reihe Tweet<\/a> dokumentiert. Jemand hat auf GitHub unter dem Konto Whitecat18<\/a> ein Tool RustyPacker f\u00fcr Sicherheitsforscher ver\u00f6ffentlicht. Der Ablauf:<\/p>\n