Ein-Schritt-GitHub-Token-Schwachstelle ermöglicht Angreifern den Diebstahl von OAuth-Zugangsdaten
Eine kritische Sicherheitslücke in der WebView-Implementierung öglicht Angreifern, GitHub OAuth-Token zu stehlen, einschließlich Lese- und Schreibzugriff auf private Repositories, indem sie ein

Kurzfassung
Warum das wichtig ist
- Eine kritische Sicherheitslücke in der WebView-Implementierung öglicht Angreifern, GitHub OAuth-Token zu stehlen, einschließlich Lese- und Schreibzugriff auf private Repositories, indem sie ein
- Juni 2026 öffentlich bekannt und entschied sich für eine vollständige Offenlegung nach negativen Erfahrungen mit dem Microsoft Security Response Center (MSRC).
- GitHub bietet einen browserbasierten, leichtgewichtigen VSCode-Editor unter github.dev an.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine kritische Sicherheitslücke in der WebView-Implementierung öglicht Angreifern, GitHub OAuth-Token zu stehlen, einschließlich Lese- und Schreibzugriff auf private Repositories, indem sie ein
Warum relevant
Wenn ein Nutzer einem beliebigen Repository navigiert, sendet github.com automatisch einen OAuth-Token an die github.dev-Sitzung, der vollen Zugriff auf jedes Repository gewährt, auf das der Nutzer zugreifen...
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Wenn ein Nutzer von github.com zu github.dev in einem beliebigen Repository navigiert, sendet github.com automatisch einen OAuth-Token an die github.dev-Sitzung, der vollen Zugriff auf jedes Repository gewährt, auf das der Nutzer zugreifen kann – nicht nur auf das geöffnete.
Dieser nicht eingeschränkte Token, kombiniert mit dem nahezu vollständigen VSCode-TypeScript-Codebase, das im Browser ausgeführt wird, stellt ein attraktives Ziel für Angreifer dar.
Das Sicherheitsmodell für Webviews in VSCode VSCode isoliert potenziell nicht vertrauenswürdige Inhalte mithilfe von Webviews, die als ` `-Elemente von einem separaten Ursprung `vscode-webview://` bereitgestellt werden, der sich vom Haupteditor-Ursprung `vscode-file://` unterscheidet.
Technischer Hintergrund
Diese Isolation über verschiedene Ursprünge verhindert, dass JavaScript im Webview direkt auf Node.js- oder Editor-APIs von VSCode zugreift. Funktionen wie Vorschauen für Markdown und Ausgaben von Jupyter-Notebooks werden vollständig innerhalb dieser sandboxierten Iframes gerendert. VSCode nutzt die Window.postMessage()-API (Quelle: Ammar Askar).
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/1-click-github-token-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/1-click-github-token-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

USA greifen iranische Elite-Einheiten im Hormus-Sund an
Als Vergeltung für Angriffe, bei denen zwei US-Soldaten auf einer Basis in Jordanien getötet wurden, haben die USA umfassende Luftoperationen gegen iranische paramilitärische Streitkräfte, darunter Raketenlager und Luftabwehrsysteme, durchgeführt. Diese Eskalation hat die regionalen Spannungen verschärft und die Konflikte im Golf, die bereits seit acht Tagen andauern, durch gegenseitige Angriffe auf kritische Infrastrukturen wie Energiezentralen und Brücken weiter intensiviert.
19.07.2026
Live Redaktion





