Cloud & Sicherheit 2 Min. Lesezeit

VS Code Zero-Day: GitHub-Tokens stehlen mit einem Klick — kein Patch in Sicht

Ungepatchte Zero-Day-Lücke in Visual Studio Code (github.dev) ermöglicht OAuth-Token-Diebstahl per präpariertem Link — Vollzugriff auf alle GitHub-Repositories, private eingeschlossen. Ein offizieller Fix existiert bislang nicht.

Alexander Baumgärtner Veröffentlicht 3. Juni 2026 · in Cloud & Sicherheit
Rotes Vorhängeschloss auf schwarzer Computertastatur – Symbol für Sicherheitslücke in VS Code

Ammar Askar, Sicherheitsforscher, hat heute eine Zero-Day-Lücke in github.dev veröffentlicht — ohne laufenden Patch von Microsoft, ohne zugewiesene CVE-Nummer, dafür mit fertigem Proof-of-Concept-Code. Ein manipulierter Link reicht, um das OAuth-Token des Opfers zu kapern und damit Zugriff auf alle erreichbaren GitHub-Repositories zu bekommen. Kein Patch, keine Stellungnahme — bei Microsoft-Security-Meldungen kein ganz unbekanntes Bild.

Ein Klick, ein Token, alle Repos

github.dev ist die browserbasierte VS-Code-Variante: Repository öffnen, Code direkt bearbeiten, commiten — ohne lokale Installation. Dafür übergibt github.com beim Aufruf ein OAuth-Token an github.dev, das im Browser gecacht bleibt. Askar zeigt, dass Skripte in VS-Code-Webviews auf dieses Token zugreifen können. Der Angriffspfad: manipulierter Link → github.dev öffnet sich → böswillige Extension wird installiert → Token extrahiert und an externe Infrastruktur übermittelt.

Der Token-Scope macht die Sache brisant: Er ist nicht auf das aktuell geöffnete Repository begrenzt. Laut Askar — bislang nur von BleepingComputer berichtet — deckt er alle Repositories ab, auf die das Konto Zugriff hat, private und Organisations-Repos eingeschlossen.

Disclosure ohne Absprache — und keine Antwort von Microsoft

Askar hat GitHub eine Stunde vor der Veröffentlichung informiert, aber keinen koordinierten Meldeprozess angestoßen. Er begründet das mit negativen Erfahrungen bei früheren Microsoft-Sicherheitsmeldungen. Full Disclosure ohne ausreichende Vorlaufzeit ist in der Security-Community ein Reizthema: Nutzer stehen sofort unter Zugzwang, Microsoft ebenso — ohne dass ein Fix bereitsteht.

Wer github.dev im Unternehmensumfeld einsetzt — etwa für externe Code-Reviews, Onboarding neuer Entwickler oder Browser-Hotfixes von unterwegs — für den ist die Sofortmaßnahme bis zu einem offiziellen Patch keine Option, sondern Pflicht.

Was jetzt hilft — und was nicht

Die einzige derzeit verfügbare Schutzmaßnahme: im Browser Cookies und lokale Websitedaten für github.dev löschen. Das entkräftet das gecachte Token; der nächste Aufruf erzwingt eine neue Authentifizierung, sodass kein stilles Token-Abruf mehr möglich ist. Wer die Plattform nicht braucht, kann die Domain im Browser blockieren.

Ein Patch von Microsoft existiert nicht. Askar hat Proof-of-Concept-Code öffentlich gemacht — das verkürzt die Reaktionszeit auf Hersteller-Seite erfahrungsgemäß erheblich. Garantien gibt es keine.

Cybersicherheit GitHub Sicherheitslücke Visual Studio Code Zero-Day

Das könnte dich auch interessieren

Aus denselben Themen
◆ Über den Autor

Alexander Baumgärtner

Seit über 20 Jahren in der IT — mit allem, was dazugehört: abgestürzten Servern um zwei Uhr nachts, Migrationen, die laut Plan eine Stunde dauern sollten, und Kunden, die "schnell mal" eine neue Software brauchen. Hauptberuflich führe ich die ProMedia24, eine kleine IT-Firma in Wallenhorst bei Osnabrück. Auf Blogspan.net schreibe ich über IT-Themen, die mich interessieren oder wo ich glaube, dass jemand genauer hinschauen sollte: Server, Cloud, Sicherheit, KI, Hardware, gelegentlich auch Foto-Equipment oder Smarthome — wenn es technisch genug ist, landet es hier. Schreibstil: lieber konkret als geschwurbelt, gerne auch mal kritisch.