VSCodeの1クリック脆弱性とは何ですか？

A. リンクを1回クリックするだけでトークンが盗まれる危険性があります。

VSCodeでは、リンクを1回クリックするだけでGitHubのOAuthトークンが盗まれる可能性が確認されました。盗まれたトークンには特定の制限が設定されていないため、攻撃者はプライベートリポジトリを含む全リポジトリを読み書きできる状態になります。

この脆弱性では、VSCodeのWebviewでキー入力を親ウィンドウへ転送する仕組みが関係していました。

攻撃者は悪意あるJavaScriptからキー操作を偽装し、通知を勝手に承諾させます。その結果、検証をすり抜けて不正な拡張機能を入れさせ、トークンを持ち出す流れになります。

MicrosoftはWeb版に確認ダイアログを追加し、特定のコマンドによる検証バイパスを制限する応急処置を適用しました。過去にgithub.devを利用したことがある場合、ブラウザのサイトデータ削除が推奨されています。

1クリックで持っていかれる脆弱性 https://constella-sec.jp/blog/hobokomo-securitynews/tips-1216/