Une vulnérabilité Zero-Day affectant Visual Studio Code a été découverte dans le mécanisme de communication des WebViews sandboxées. Elle permettrait à un attaquant de contourner l’isolation du sandbox et de dérober des jetons d’authentification GitHub, exposant potentiellement des dépôts privés et du code source sensible.
VS Code et les WebViews : vecteur d’attaque méconnu
Visual Studio Code utilise des WebViews — panneaux intégrés basés sur Chromium — pour afficher des interfaces graphiques dans des extensions. Ces WebViews sont théoriquement sandboxées et isolées du reste du système. La faille identifiée exploite les canaux de communication (postMessage API) entre les WebViews et l’extension principale. Pour les développeurs et entreprises, la compromission de jetons GitHub représente un risque critique : accès aux dépôts privés, aux pipelines CI/CD, aux secrets et variables d’environnement stockés dans GitHub Actions. Un attaquant pourrait introduire du code malveillant dans les dépôts compromis (attaque sur la chaîne d’approvisionnement logicielle).
La vulnérabilité Zero-Day découverte dans Visual Studio Code exploite une faiblesse du mécanisme de communication postMessage utilisé entre les WebViews sandboxées et l’environnement principal de l’éditeur. Un attaquant peut piéger une victime en lui faisant ouvrir un lien spécialement conçu dans github.dev ou dans un environnement VS Code basé sur le web. Une fois le lien ouvert, du contenu non fiable exécuté dans une WebView abuse du système d’échange de messages pour simuler certaines actions de l’utilisateur, contourner des mécanismes de confiance et déclencher l’installation ou l’exécution de composants malveillants. L’attaque permet alors d’accéder au jeton OAuth GitHub associé à la session de la victime et de l’exfiltrer vers un serveur contrôlé par l’attaquant. Comme ce jeton dispose souvent d’autorisations étendues, les cybercriminels peuvent obtenir un accès aux dépôts GitHub privés, consulter ou modifier du code source, et potentiellement compromettre l’ensemble de l’environnement de développement de la victime. L’exploitation ne nécessite généralement qu’un simple clic sur un lien malveillant, ce qui en fait une menace particulièrement dangereuse pour les développeurs utilisant les services GitHub intégrés à VS Code.
Recommandations de Microsoft
Microsoft a publié des recommandations de sécurité et travaille sur un correctif. Les développeurs utilisant github.dev (VS Code dans le navigateur) et ceux ayant des extensions VS Code non maintenues sont particulièrement invités à appliquer les mesures de mitigation disponibles et à mettre à jour VS Code vers la dernière version.
Recommandations clés
- Mettre à jour VS Code vers la dernière version disponible immédiatement
- Auditer les extensions VS Code installées et désinstaller celles non maintenues ou de source douteuse
- Révoquer et régénérer les jetons GitHub si une exposition est suspectée Utiliser des Personal
- Access Tokens (PAT) GitHub avec des permissions minimales et une durée limitée
- Activer l’authentification à deux facteurs (2FA) sur les comptes GitHub
- Éviter d’utiliser github.dev pour des dépôts contenant des secrets jusqu’à la publication du correctif
Articles Similaires
WordPress : Plugins Compromis
Une vulnérabilité de sécurité a récemment été identifiée dans plusieurs plugins WordPress populaires, dont OptinMonster, TrustPulse et PushEngage. Cette faille pourrait permettre à des attaquants d'exploiter certaines fonctionnalités des extensions concernées pour compromettre la sécurité des sites web.
RoguePlanet : Faille critique Windows
Une nouvelle vulnérabilité Zero-Day baptisée RoguePlanet cible les systèmes Windows en exploitant des mécanismes liés à Windows Defender. Cette faille pourrait permettre à des attaquants de contourner certaines protections de sécurité et d'obtenir un accès non autorisé aux systèmes affectés.
Une vulnérabilité Zero-Day : Chez Google
Une vulnérabilité Zero-Day critique, référencée CVE-2026-11645, affecte le navigateur Google Chrome. Exploitée activement avant la publication du correctif, cette faille dans le moteur V8 pourrait permettre l'exécution de code malveillant à distance simplement via la visite d'une page web piégée.
Brèche dans les WebViews sandboxées
Une vulnérabilité Zero-Day affectant Visual Studio Code a été découverte dans le mécanisme de communication des WebViews sandboxées. Cette faille permettrait à un attaquant de contourner certaines protections de l'environnement et de dérober des jetons d'authentification GitHub, exposant potentiellement des dépôts privés et des données sensibles. Les développeurs utilisant github.dev sont invités à suivre les recommandations de sécurité publiées par Microsoft.
Brèche critique dans Netlogon
La vulnérabilité CVE-2026-41089 affecte le service Netlogon de Windows Server et présente un risque majeur pour les infrastructures utilisant Active Directory. Cette faille permet à un attaquant distant non authentifié d'exécuter du code à distance et de compromettre potentiellement un contrôleur de domaine.
CIFSwitch : l'accès root sans privilège
La vulnérabilité CIFSwitch (CVE-2026-46243) met en lumière une faiblesse présente dans certains systèmes Linux depuis près de 19 ans. Cette faille d'escalade de privilèges permet à un utilisateur local non privilégié d'obtenir un accès root, ouvrant la voie à une prise de contrôle complète du système.
Brèche critique dans Drupal Core
La vulnérabilité **CVE-2026-9082** affecte Drupal Core et expose les sites concernés à un risque d'injection SQL critique. Exploitable à distance par un attaquant non authentifié, cette faille pourrait permettre l'accès à des données sensibles, la modification du contenu du site ou la compromission complète de l'application. Les administrateurs sont vivement encouragés à appliquer les correctifs de sécurité publiés par Drupal.
Accès root via DirtyDecrypt
La vulnérabilité **DirtyDecrypt (CVE-2026-31635)** affecte le noyau Linux et permet à un utilisateur local non privilégié d'obtenir des privilèges **root**. En exploitant une faiblesse du sous-système de déchiffrement du noyau, un attaquant peut contourner certaines protections de sécurité et prendre le contrôle complet du système. Cette faille souligne l'importance de maintenir les systèmes Linux à jour et d'appliquer rapidement les correctifs de sécurité disponibles.
RedSun compromet les systèmes Windows
Découverte en avril 2026, la vulnérabilité RedSun affecte Microsoft Defender et permet à un attaquant disposant de faibles privilèges d'obtenir un accès SYSTEM sur des systèmes Windows. Activement exploitée, cette faille représente une menace importante pour les organisations utilisant Defender comme solution de protection principale.
Faille critique dans Cisco SD-WAN Manager
La vulnérabilité CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager, une solution largement utilisée pour l'administration des réseaux étendus d'entreprise. Cette faille permet à un attaquant disposant de privilèges administratifs d'exécuter des commandes en tant que root, compromettant ainsi l'intégrité et le contrôle de l'infrastructure réseau.