июнь    2026

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

03.06.2026

Хакеры могут «угонять» GitHub одним кликом

Читать далее 

02.06.2026

В столичном Аппарате бизнес-омбудсмена обсудили будущее регулирования VPN

Читать далее 

02.06.2026

Эксперт Григорий Ковшов: представленные на питч-сессии в «Технопарке Санкт-Петербурга» стартапы обладают высоким потенциалом

Читать далее 

02.06.2026

«Боцман» 3.3.0: ещё больше возможностей для ИИ-нагрузок и промышленной эксплуатации

Читать далее 

28.05.2026

В Петербурге пройдет IX конференция «Практическая польза региональных информационных систем в сфере здравоохранения»

Читать далее 

показать все 

27.05.2026

Эра немилосердия

Читать далее 

22.05.2026

Строительная отрасль России в одном цифровом пространстве: обзор сервиса «Всем подряд»

Читать далее 

22.04.2026

Суверенные облака: стратегия на 2026–2028

Читать далее 

22.04.2026

Российское ПО дорожает: как обосновать бюджет?

Читать далее 

22.04.2026

Управление данными: искусство превращения хаоса в актив

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Хакеры могут «угонять» GitHub одним кликом

Обычный переход по ссылке мог позволить злоумышленнику украсть доступ к приватным репозиториям GitHub. Эксперт «Группы Астра» Эдуард Тихомиров рассказал, почему для ключевых российских Git-платформ подобная атака не применима.

 Уязвимость нашли в том, как Visual Studio Code обрабатывал нажатия клавиш внутри встроенных веб-окон. В случае с github.dev атака особенно опасна, потому что жертве достаточно открыть подготовленную ссылку. 

github.dev позволяет открыть любой доступный пользователю репозиторий прямо в браузере, в облегчённой версии Visual Studio Code. Через такой редактор можно просматривать файлы, менять код, создавать запросы на слияние и делать коммиты. Для работы GitHub передаёт в github.dev токен OAuth, который позволяет действовать от имени пользователя, подробнее пишет Securitylab. 

Автор раскрыл уязвимость публично 2 июня 2026 года. За час до публикации он сообщил о проблеме своему старому контакту в службе безопасности GitHub, после чего выложил описание и создал обращение в баг-трекере Visual Studio Code. 

Новость прокомментировал технический директор GitFlic (входит в «Группу Астра») Эдуард Тихомиров. 

«Обнаруженная уязвимость в Visual Studio Code и github.dev — яркий пример того, как «удобство» зарубежных инструментов оборачивается критическими дырами в безопасности. Злоумышленник может украсть OAuth-токен и получить доступ к приватным репозиториям жертвы буквально одним кликом — из-за того, что редактор кода доверяет вредоносным веб-окнам и горячим клавишам. 

Для ключевых российских Git-платформ, таких как GitFlic, подобная атака не применима в принципе. Мы используем собственные редакторы кода, полностью контролируем механизмы авторизации и не передаём управление через уязвимые веб-представления. Токены доступа жёстко привязаны к конкретному репозиторию и сессии, а любой сторонний код изолирован на уровне архитектуры. 

Отечественные решения соответствующие принципам РБПО снижают риски взломов, поэтому мы рекомендуем использовать суверенное ПО, особенно компаниям с госучастием и КИИ»,—говорит эксперт Эдуард Тихомиров.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи