مائیکروسافٹ نے وی ایس کوڈ میں ایک اہم خرابی کو درست کر دیا جس کے ذریعے گٹہب ٹوکن چوری کیا جا سکتا تھا

سیکورٹی ریسرچر امر اسکر نے 2 جون، 2026 کو ویژول اسٹوڈیو کوڈ میں ایک اہم کمزوری کا انکشاف کیا، جس میں ظاہر ہوا کہ حملہ آور ایک دھوکہ آمیز، ایک کلک والے حملے کے ذریعے گٹھب ای او آف ٹوکن چوری کر سکتے ہیں۔ مائیکروسافٹ نے اگلے دن، 3 جون کو ایک عارضی فکس جاری کیا، جس کا وقت کا تقاضا آپ کو بتاتا ہے کہ ریڈمنڈ نے اس معاملے کو کتنا سنجیدہ لیا۔

یہ خرابی GitHub.dev کو ہدف بناتی ہے، جو VS Code کا ویب براؤزر پر مبنی ورژن ہے جسے لاکھوں ڈیولپرز اپنے براؤزر میں کوڈ ایڈٹ کرنے کے لیے استعمال کرتے ہیں۔ اس کمزوری کا استعمال کرنے والا حملہ آور قربانی کے متاثرہ ٹوکن سے جڑے ہر ریپوزٹری، بشمول پرائیویٹ ریپوزٹریز تک رسائی حاصل کر سکتا ہے۔

یہ کمزوری VS Code کے ویب ویو سسٹم میں موجود ہے، جو ایڈیٹر کے اندر امبیڈڈ ویب مواد کو رینڈر کرنے کے لیے ذمہ دار ہے۔ ویب ویوز میسج پاسنگ مکینزم کے ذریعے VS Code کے مرکزی عمل کے ساتھ مواصلات کرتے ہیں، اور یہی جگہ دلچسپ ہو جاتی ہے۔

حملہ کا سلسلہ گٹھبیو ڈی و کے ورک اسپیس کی طرف اشارہ کرنے والے ایک بری بھرے لنک سے شروع ہوتا ہے۔ اس ورک اسپیس کے اندر ایک جیوپیٹر نوٹ بک ہوتا ہے جس میں نقصان دہ جاوا اسکرپٹ شامل ہوتا ہے۔ جب قربانی لنک کھولتی ہے، تو نوٹ بک کا کوڈ ویب ویو کنٹیکس میں اجراء ہوتا ہے۔

اس کے بعد، خطرناک اسکرپٹ VS Code کے انٹرفیس کے ساتھ پروگرامی طور پر تعامل کے لیے کیبورڈ واقعات کا شبیہہ بناتا ہے۔ یہ گٹھبب.dev کی ورک اسپیس کے مواد کو دی جانے والی اعتماد کے ماڈل کا فائدہ اٹھاتا ہے، جس سے ایڈیٹر کو حملہ آور کے کوڈ کو قانونی صارف کی درخواست کے طور پر سمجھنے کا شکار بنایا جاتا ہے۔

اسکرپٹ پھر معتبر ورک اسپیس سے ایک مضر ایکسٹنشن انسٹال کرتا ہے۔ وہ ایکسٹنشن پیچیدہ طور پر قربانی کا GitHub OAuth ٹوکن نکال لیتی ہے بغیر کسی نظر آنے والی چेतاؤ کے۔ پوری سلسلہ وار کارروائی صرف ایک ایکلیک لنک پر کلک کرنے کی ضرورت رکھتی ہے۔

اسکار نے افشا کے ساتھ ایک مکمل عوامی ثبوت-کا-تفصیلی ریپوزٹری جاری کیا، جس نے سیکورٹی ٹیموں کو کمزوری کو سمجھنے اور ٹیسٹ کرنے کے لیے درکار معلومات فراہم کیں۔

مایکروسافٹ کا جون 3 کا پیچ دو اہم تحفظات متعارف کرایا گیا۔ پہلا، اس نے یوزرز کے جب GitHub.dev کے اندر کچھ فائل ٹائپس کھولنے کی کوشش کرتے ہیں تو تصدیق کا پیغام شامل کیا، جس سے حملے کو اتنے مؤثر بنانے والی ایک کلک کی مسلسل سلسلہ توڑ دی گئی۔ دوسرا، اس نے ان ممکنہ خطرناک ایکسٹینشن کمانڈز کو بلاک کر دیا جن پر حملہ مخفی طور پر خطرناک کوڈ انسٹال کرنے کے لیے انحصار کرتا تھا۔

اس اطلاعیہ کا وقت قابل توجہ ہے۔ صرف کچھ ہفتے پہلے، 20 مئی، 2026 کو، گٹہب نے خود ایک سیکورٹی بریچ کا شکار ہوا جب ایک زہریلے VS کوڈ ایکسٹینشن نے تقریباً 3,800 اندری ریپوزٹریز کو متاثر کیا۔

انفرادی ڈیولپرز کے لیے فوری اقدام آسان ہے: GitHub.dev سیشنز کو مائیکروسافٹ کے تازہ ترین پیچس کے ساتھ اپ ڈیٹ کریں۔ اگر آپ نے پچھلے ہفتہ جاری GitHub.dev ورک اسپیسز کے لیے غیر مألوف لنکس پر کلک کیے ہیں، تو کوئی بھی OAuth ٹوکنز بدل دیں۔ اپنی نصب شدہ ایکسٹینشنز کا جائزہ لیں اور جو کچھ آپ فعال طور پر استعمال نہیں کرتے، وہ ہٹا دیں۔

سیکیورٹی ٹیمیں یہ جانچنے چاہیں کہ GitHub.dev تک کن ملازمین کا رسائی ہے اور کیا ان کے OAuth ٹوکنز کے پاس ضرورت سے زیادہ اجازتیں ہیں۔ کم سے کم اجازت کا اصول، جس میں صرف ضروری حد تک رسائی دی جائے، اس خاص حملے سے ہونے والے نقصان کو کافی حد تک کم کر دیتا۔