Blog

Federico Salis

Torna alla Home

Falla Zero-Day in VS Code: come proteggere i tuoi token GitHub da furti immediati

IL PROBLEMA: È stata scoperta una grave vulnerabilità zero-day in Visual Studio Code (VS Code) che consente ai cybercriminali di rubare i token di autenticazione di GitHub e Microsoft con un semplice clic. Sfruttando una falla nella gestione dei protocolli URI personalizzati e delle estensioni, un utente malintenzionato può indurre lo sviluppatore a cliccare su un link dannoso o a installare un’estensione apparentemente innocua, ottenendo l’accesso immediato e non autorizzato a repository privati e codice sorgente protetto.

Come mettere in sicurezza il tuo ambiente di sviluppo

Per evitare che i tuoi account GitHub e Microsoft vengano compromessi, segui questa scala di risoluzione ordinata per livello di difficoltà.

Livello Facile 🟢: Aggiornamento immediato di VS Code

La prima linea di difesa consiste nell’assicurarsi che l’applicazione sia aggiornata all’ultima versione stabile rilasciata da Microsoft, che include la patch di sicurezza per questa vulnerabilità.

  • Apri Visual Studio Code.
  • Se sei su Windows, clicca su Aiuto > Verifica disponibilità aggiornamenti. Se sei su macOS, clicca su Code > Verifica disponibilità aggiornamenti.
  • Se è presente un aggiornamento, consenti al programma di scaricarlo e installarlo, quindi riavvia l’applicazione.

Livello Medio 🟡: Controllo e pulizia delle estensioni installate

Poiché i token possono essere sottratti tramite estensioni malevole che abusano delle API di autenticazione, è fondamentale fare un controllo dei componenti aggiuntivi attivi.

  • Apri la barra laterale delle estensioni cliccando su Visualizza > Estensioni (oppure usa la scorciatoia Ctrl+Shift+X su Windows o Cmd+Shift+X su macOS).
  • Esamina attentamente l’elenco delle estensioni installate.
  • Disinstalla immediatamente qualsiasi estensione non verificata, obsoleta o di cui non ricordi l’installazione cliccando sull’icona dell’ingranaggio accanto all’estensione e selezionando Disinstalla.

Livello Avanzato 🔴: Verifica della versione da terminale e revoca dei token compromessi

Se sospetti che il tuo account sia già stato esposto, devi verificare la versione corrente di VS Code tramite riga di comando e procedere alla revoca manuale delle sessioni attive su GitHub.

  1. Apri il tuo terminale (Prompt dei comandi, PowerShell o Terminale macOS) e digita il seguente comando per verificare la versione installata:
code --version
  1. Se la versione restituita è precedente alla 1.93, procedi subito all’aggiornamento manuale.
  2. Accedi al tuo account GitHub via browser e vai su Settings > Developer Settings > Personal Access Tokens per eliminare eventuali token sospetti.
  3. Vai su Settings > Applications > Authorized OAuth Apps e revoca l’accesso a qualsiasi applicazione o integrazione di VS Code che non ritieni sicura o che potrebbe essere stata compromessa.
SOLUZIONE DEFINITIVA: Microsoft ha rilasciato una patch correttiva ufficiale a partire dalla versione 1.93 di VS Code. La soluzione definitiva consiste nell’aggiornare l’editor a questa versione (o successive). Il nuovo aggiornamento introduce un sistema di protezione che richiede un’esplicita autorizzazione dell’utente prima di consentire a qualsiasi estensione o link esterno di accedere ai token di autenticazione memorizzati nel portachiavi di sistema.

Non perdere nemmeno un’offerta!

Unisciti al canale Telegram esclusivo per ricevere in tempo reale errori di prezzo,
coupon limitati e le migliori offerte scovate per te 24h/7.

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Altri articoli