研究人員直接公開VS Code資安漏洞，並表明對微軟漏洞通報流程失去信任

資安研究員Ammar Askar於6月2日公布Visual Studio Code（VS Code）一項零時差漏洞，並指出攻擊者只要誘導使用者點選惡意連結，就能竊得GitHub OAuth權杖（token），進而存取使用者的公開與私有儲存庫。這項漏洞之所以受到關注，在於Askar並未依照微軟提供的通報管道處理，而是選擇在VS Code的GitHub專案提出議題（issue），以及發布部落格文章的方式公開漏洞。微軟在上述資訊發布後，於6月3日先後兩次進行緊急修補。

這項漏洞發生的原因，在於GitHub.dev提供網頁版VS Code，透過OAuth權杖與GitHub溝通，然而該權杖具備的權限過高，原本應該只能存取單一儲存庫，實際上卻能存取使用者所有的儲存庫，使得網頁版VS Code成為攻擊者高價值目標問題在於：網頁版VS Code使用的Webview元件會將鍵盤事件（keydown）傳遞到外層的主視窗，攻擊者能藉此執行惡意指令碼，並觸發VS Code的快速鍵，藉此安裝惡意延伸套件，進而侵入受害者的儲存庫。