Güvenlik araştırmacısı Ammar Askar, 2 Haziran 2026 tarihinde Visual Studio Code'ta kritik bir zafiyet keşfetti ve saldırganların bir tıklama ile GitHub OAuth token'larını çalabileceğini ortaya koydu. Microsoft, bu sorunu 3 Haziran'da, bir sonraki gün hemen bir geçici çözüm ile giderdi; bu dönüş süresi, Redmond'un bu olayı ne kadar ciddiye aldığını size her şeyi anlatır.
Bu hata, milyonlarca geliştiricinin kodları doğrudan tarayıcılarında düzenlemek için kullandığı GitHub.dev, yani VS Code'un tarayıcı tabanlı sürümünü hedef alıyor. Bu zafiyeti kullanan bir saldırgan, kurbanın kompromize edilmiş belirtecine bağlı tüm depolara, özel olanlar da dahil olmak üzere, erişim sağlayabilir.
Saldırının nasıl çalıştığı
Zafiyet, düzenleyici içinde gömülü web içeriğini işleyen sorumlu olan VS Code’un webview sisteminde yaşıyor. Webview’ler, mesaj geçiş mekanizması aracılığıyla ana VS Code süreciyle iletişim kuruyor ve tam burada şeyler ilginç hale geliyor.
Saldırı zinciri, GitHub.dev çalışma alanına işaret eden zararlı bir bağlantı ile başlar. Bu çalışma alanında, zararlı JavaScript ile dolu bir Jupyter defteri yer alır. Bir kurban bağlantıya açtığında, defterin kodu webview bağlamında yürütülür.
Oradan, zararlı script, VS Code arayüzüyle programlı olarak etkileşim kurmak için klavye olaylarını simüle eder. GitHub.dev'in çalışma alanı içeriğine genişlettiği güven modelinden yararlanarak, editörü, saldırganın kodunu legítim kullanıcı girdisi olarak işlemeye ikna eder.
Daha sonra betik, güvenilir çalışma alanından zararlı bir eklenti kurar. Bu eklenti, herhangi bir görünür uyarı tetiklemeksizin kurbanın GitHub OAuth jetonunu sessizce dışa aktarır. Tüm süreç, yalnızca tek bir bağlantıya tıklamayı gerektirir.
Askar, açıklamayla birlikte, güvenlik ekiplerinin zafiyeti anlayabilmesi ve test edebilmesi için gerekli bilgileri içeren tam bir kamuya açık kanıt-çalışması deposu yayınladı.
Microsoft’in yanıtı ve daha geniş desen
Microsoft'in 3 Haziran güncellemesi, iki önemli koruma önlemi getirdi. İlk olarak, kullanıcıların GitHub.dev içinde belirli dosya türlerini açmaya çalışırken onay istemi ekledi ve saldırıyı bu kadar etkili kılan tek tıklamalı zinciri bozdu. İkinci olarak, saldırganın zararlı kodu sessizce yüklemek için kullandığı potansiyel olarak zararlı uzantı komutlarını engelledi.
Bu açıklamanın zamanlaması dikkat çekici. Daha önceki birkaç hafta içinde, 20 Mayıs 2026 tarihinde GitHub kendisi, zehirli bir VS Code eklentisi nedeniyle yaklaşık 3.800 dahili deposunu compromete etti.
Bu, geliştiriciler ve organizasyonlar için ne anlama geliyor
Bireysel geliştiriciler için hemen alınacak eylem basittir: GitHub.dev oturumlarını Microsoft'un en son düzeltmeleriyle güncelleyin. Son haftalarda GitHub.dev çalışma alanlarına tanımadığınız bağlantıları tıkladıysanız, olası şekilde maruz kalan tüm OAuth belirteçlerini değiştirin. Yüklü uzantılarınızı gözden geçirin ve aktif olarak kullanmadığınız her şeyi kaldırın.
Güvenlik ekibinin, GitHub.dev erişimine sahip olan çalışanları ve OAuth belirteçlerinin gerekenden daha geniş izinlere sahip olup olmadığını denetlemesi gerekir. En az erişim ilkesi, belirteçlere yalnızca gerekli olan minimum erişimi vererek, bu spesifik saldırıdan kaynaklanan hasarı önemli ölçüde sınırlayabilirdi.