Visual Studio Code’daki Sıfırıncı Gün Açığı ve Korunma Yöntemleri

Güvenlik araştırmacısı Ammar Askar, Visual Studio Code (VS Code) için sıfırıncı gün açığına dair istismar kodunu yayınladı. Bu güvenlik açığı, kullanıcıları bir bağlantıya tıklamaya ikna ederek GitHub kimlik doğrulama jetonlarını çalma imkanı tanıyor.

Saldırı Nasıl Çalışıyor?

Microsoft, bir yazılım hatasını “sıfırıncı gün” olarak sınıflandırır, eğer bu hata kamuya açık olarak duyurulmuşsa ve/veya aktif bir şekilde istismar ediliyorsa ve resmi bir yamanın mevcut olmadığını belirtmektedir. Ammar Askar, bu açık ile ilgili detayları blogunda şöyle açıkladı:

• VS Code açığı, kötü amaçlı uzantıların yüklenmesine ve GitHub OAuth jetonlarının çalınmasına olanak tanıyor.
• Hacker’lar, github.dev (GitHub repository’leri üzerinde çalışmak için kullanılan tarayıcı tabanlı VS Code versiyonu) üzerinden kullanıcıları kandırarak, bu hedefe ulaşabiliyor.
• Kötü amaçlı JavaScript kodu, bir web görünümünde çalıştırılarak ana editörde tuş vuruşlarını simüle ediyor ve uzantının yüklenmesini sağlıyor.

Askar, “Bu işlevsellik, github.com üzerinden bir OAuth jetonunu github.dev’e POST ederek, GitHub ile sizin adınıza etkileşime girmesini sağlıyor,” dedi. Ayrıca, “Jeton, sizin etkileşimde bulunduğunuz özel bir depoya sınırlı değil, bu da sizin erişiminiz olan diğer tüm depolara tam erişim sağlıyor,” şeklinde ekledi.

Etkilenen Sistemler

Henüz yamanmamış olan bu güvenlik açığı için özel bir CVE numarası verilmemiştir. Kullanıcılar, aşağıdaki adımları takip ederek kendilerini koruyabilirler:

• Tarayıcı ayarlarına gidin ve github.dev için çerezleri ve yerel site verilerini temizleyin.
• URL çubuğundaki Ayarlar simgesine tıklayın, ardından Cookies and site data > Manage on-device site data kısmına girin.

Bu işlemler, kullanıcıların açık istismar edildiğinde “Uzantı ‘GitHub Depoları’, GitHub kullanarak oturum açmak istiyor.” uyarısı almalarını sağlayacaktır.

Çözüm ve Korunma

Askar, bu açığı açıkladığı sırada GitHub’ı bir saat öncesinden bilgilendirdiğini belirtti. Kullanıcılar, bu tür durumlarla karşılaşmamak için aşağıdaki önlemleri almalıdır:

• Yazılım güncellemelerini takip edin ve mümkün olan en kısa sürede uygulayın.
• Güvenilir olmayan uzantılara ve bağlantılara tıklamaktan kaçının.
• Hesap güvenliğinizi sağlamak için iki faktörlü kimlik doğrulama (2FA) kullanın.

Askar, VS Code güvenlik açıklarını raporlama sürecinde yaşadığı olumsuz deneyimleri de paylaşarak, şeffaf bir kamu duyurusu yapma gerekliliğini vurguladı. Microsoft’un daha önceki sıfırıncı gün açıklarını ele alış biçiminin, araştırmacılar için endişe verici olduğunu ifade etti.

Sonuç

Visual Studio Code kullanıcıları için bu güvenlik açığı ciddi bir tehdit oluşturuyor. Güncellemeleri takip ederek, şüpheli bağlantılara dikkat ederek ve güvenli oturum açma yöntemleri kullanarak en iyi korumayı sağlamış olursunuz. Bu tür durumları göz önünde bulundurarak, güvenliğinizi artırmak adına gerekli önlemleri almalısınız.