Исследователь Ammar Askar опубликовал PoC‑эксплоит 0‑day уязвимости в Visual Studio Code, позволяющей через webview‑компонент украсть OAuth‑токен GitHub и получить доступ ко всем приватным репозиториям жертвы. Уязвимость затрагивает онлайн‑редактор github.dev; Microsoft заявила, что проблема уже исправлена и действий от пользователей не требуется. Askar предупредил GitHub за час до публикации и отказался от координированного раскрытия из‑за негативного опыта с MSRC. В качестве временной защиты рекомендовано очистить cookies и данные github.dev.
