Tienda FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2902
)
-
▼
abril
(Total:
577
)
-
Cómo saber si tu conexión la bloquea LaLiga
-
Brecha de seguridad en Vercel (CAMBIA las variable...
-
La memoria HUDIMM es una solución hasta superar la...
-
Microsoft implementará agentes de IA en la barra d...
-
SK Hynix lleva la LPDDR5X a los servidores de IA c...
-
Vercel confirma filtración de datos: accedieron a ...
-
Steve Jobs y Wozniak hicieron una llamada falsa al...
-
Encuentra 72 módulos de 32 GB de RAM nuevos en la ...
-
Intel Arc B390 frente a Radeon 890M y Radeon 8060s
-
Intel Nova Lake-S: memoria caché monumental para d...
-
Utilizan CVE-2024-3721 para infectar DVR de TBK co...
-
La RTX PRO 6000 Blackwell de 96 GB es tan rápida c...
-
GitHub Store es el la nueva tienda de aplicaciones...
-
Un robot humanoide chino supera el récord mundial ...
-
Valve se duerme con la Steam Machine y su competen...
-
Zhitai TiPlus 9100: el primer SSD PCIe 5.0 de alto...
-
GitHub se une a Anthropic, Google, Amazon (AWS) y ...
-
Cuidado si recibes un correo de cambio de cuenta d...
-
Trucos para no agotar los limites de uso de Claude
-
Microsoft mejora el Explorador de archivos de Wind...
-
Intel Core Ultra 400D y 400DX: CPUs con hasta 288 ...
-
OpenCode es una IA de código abierto para programa...
-
Las series hechas con IA se salen de control en Ch...
-
Los expertos advierten: no le pidas consejos de pa...
-
ChatGPT podría empezar a "recordar" tu cara en fut...
-
Anthropic convierte a Claude en una herramienta de...
-
Una vulnerabilidad del buscador IA Windows Recall ...
-
PS6 frente a PS5 en trazado de rayos: el rendimien...
-
Meta se prepara para su mayor cantidad de despidos...
-
Samsung abandona la producción de memoria LPDDR4/L...
-
Netflix sube de precio todos sus planes en España
-
Netflix cambia para siempre su app: llegan los víd...
-
Microsoft vuelve a empujar Edge en Windows 11
-
ASUS muestra unos módulos de memoria HUDIMM DDR5: ...
-
El gran rediseño de WhatsApp en iPhone ya está lle...
-
ChatGPT Proyectos: un chat personalizado para cada...
-
¿Qué es una 'Release Candidate' (RC) de Linux?
-
El popular traductor de texto DeepL Translate ahor...
-
Misterioso usuario de Steam lleva más de 20.000 re...
-
Vulnerabilidad de día cero en Microsoft SharePoint...
-
La escasez de CPU ya supera a la de memoria y pone...
-
Antiguos empleados de Apple, Qualcomm y Nuvia se u...
-
Hasta la jefa de Xbox reconoce en privado que el G...
-
Actualización falsa del SDK de Zoom distribuye mal...
-
Crean reglas ocultas en Microsoft 365 para interce...
-
El conector violeta ASUS ROG Equalizer de 16 pines...
-
China prepara una media maratón con más de 300 rob...
-
Android podría por fin permitir tonos de llamada d...
-
Elon Musk es demandado: el nuevo centro para entre...
-
Ingeniero de Valve desarrolla una técnica para que...
-
El parche de abril de Microsoft pone a los control...
-
Operación PowerOFF: incauta 53 dominios DDoS y exp...
-
OpenAI invertirá más de 20.000 millones de dólares...
-
Space Command, el primer mando a distancia para TV...
-
Billeteras Ledger falsas en mercados chinos roban ...
-
Explotación activa de vulnerabilidades en Windows ...
-
Atacantes aprovechan CVE-2026-39987 para difundir ...
-
Piratas informáticos usan ATHR para estafas con IA...
-
Anthropic lanza Claude Opus 4.7 con protecciones a...
-
España inaugura la primera carretera con límite de...
-
Fuentes de alimentación GIGABYTE GAMING protegerán...
-
Un estudio asegura que deslizar el dedo por el móv...
-
Elon Musk, CEO de Tesla y SpaceX: "No confundan la...
-
Una PS5 en tu móvil: teléfono Android con 24 GB de...
-
OpenAI responde al "modelo prohibido" de Anthropic...
-
Más de 25.000 puntos finales expuestos por actuali...
-
Irán habría comprado un satélite chino en órbita p...
-
DLSS Enabler hace lo que NVIDIA no permite: así de...
-
Linus Torvalds establece los límites en el uso de ...
-
YouTube ya permite desactivar los Shorts
-
FRITZ!Box 5690 Pro 🆚 FRITZ!Box 5690
-
Apple es la marca de móviles que más crece en China
-
Intel AI Quiet Plus, la nueva certificación que bu...
-
Más de 100 extensiones de Chrome Web Store roban c...
-
Google lanza gratis una de las mejores funciones d...
-
Estudio muestra los países más afectados por estaf...
-
Intel estaría preparando unas CPU Raptor Lake Refr...
-
NVIDIA detiene el suministro de la única tarjeta g...
-
Microsoft activa un nuevo "modo ultrarrápido" para...
-
Una programadora que no había nacido cuando salió ...
-
Los próximos sockets de Intel serán mucho más long...
-
AMD Ryzen 9 9950X3D2: rendimiento por aire decepci...
-
Ingeniero de Microsoft crea una app para añadir a ...
-
Lidl, el nuevo rival low cost de las operadoras en...
-
Amazon estrena un nuevo Fire TV Stick HD, más pequ...
-
Max Hodak, expresidente de Neuralink, a punto de c...
-
La nueva beta del iPhone ya está aquí: iOS 26.5 tr...
-
Abusan de Google Discover con contenido generado p...
-
Descarga falsa de Adobe Reader entrega ScreenConne...
-
El CNI Español certifica 19 productos de Huawei pa...
-
Ya disponible Distro Linux: Zorin OS 18.1
-
La nueva versión de Raspberry Pi OS refuerza la se...
-
Adobe lanza un asistente con IA que maneja Photosh...
-
Nueva estafa suplanta Windows Update
-
Acusan a Apple de aprovecharse de la crisis de mem...
-
Google lleva lo mejor de Gemini al Mac con su nuev...
-
Un estudio demuestra que ➡️ Google, Microsoft y Me...
-
Nothing Warp, la nueva forma de compartir archivos...
-
Vulnerabilidad en Active Directory de Windows perm...
-
Adobe Firefly se refuerza: IA para vídeo, nuevos m...
-
-
▼
abril
(Total:
577
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Google y Back Market lanzan ChromeOS Flex USB , un kit para recuperar PCs antiguos y combatir la obsolescencia electrónica , facilitando s... -
%20(1).jpg)
Microsoft ha publicado actualizaciones de seguridad urgentes para abordar una vulnerabilidad crítica en Windows Active Directory que permit... -
Aunque el cable de fibra óptica tiene un alcance mucho mayor (mientras que el 10GBASE-T pierde eficiencia a partir de los 20 metros) y reduc...
La nueva vulnerabilidad del escáner de Open VSX permite que extensiones maliciosas se activen
Recientemente se descubrió una grave falla de seguridad en Open VSX, el mercado de extensiones utilizado por editores de código populares como Cursor y Windsurf, así como por el ecosistema más amplio de bifurcaciones de VS Code. La vulnerabilidad se encontró dentro de la nueva canalización de escaneo previa a la publicación de la plataforma, una capa de seguridad diseñada para revisar cada extensión antes de que esté disponible.
Se descubrió recientemente una grave falla de seguridad en Open VSX, el mercado de extensiones utilizado por editores de código populares como Cursor y Windsurf, así como por el ecosistema más amplio de bifurcaciones de VS Code.
La vulnerabilidad se encontró dentro de la nueva canalización de escaneo previa a la publicación de la plataforma, una capa de seguridad diseñada para revisar cada extensión antes de que esté disponible para los usuarios.
La falla, ahora conocida como “Open Sesame”, permitía que una extensión maliciosa eludiera por completo el escaneo de seguridad y se publicara en el mercado, apareciendo ante los usuarios como si hubiera superado todas las comprobaciones de seguridad.
La canalización de escaneo se diseñó con buenas intenciones. Se creó para detectar malware, buscar secretos codificados, revisar binarios sospechosos y evitar el name-squatting, donde actores maliciosos copian nombres de extensiones populares para engañar a los usuarios y hacer que descarguen software dañino.
Esta canalización mantiene cada extensión subida en un estado inactivo hasta que todos los escáneres registrados la aprueban. Solo después de pasar todas las comprobaciones, la extensión se vuelve descargable.
En teoría, este sistema representaba un gran avance para la seguridad de todo el ecosistema.
Analistas e investigadores de Koi identificaron que la raíz del problema era un único valor booleano de retorno dentro del código de escaneo.
Este valor se utilizaba para significar dos cosas muy diferentes: o bien no había escáneres configurados, o todos los escáneres fallaron durante el proceso.
Como el sistema no podía distinguir entre estas dos situaciones, trataba un fallo total del escáner de la misma manera que un estado limpio y sin configurar.
El resultado fue que la plataforma marcaba la extensión como “APROBADA” y la activaba para su descarga pública, a pesar de que no se había realizado ningún escaneo de seguridad.
El ataque no requería acceso especial ni conocimiento interno. Cualquier persona con una cuenta de editor gratuita podía explotar esta falla simplemente inundando el punto final de publicación con múltiples solicitudes de carga al mismo tiempo.
Este tipo de tráfico intenso agotaba el grupo de conexiones de la base de datos, lo que provocaba que los trabajos de escaneo fallaran durante el proceso de encolado. Sin escaneos exitosos enviados, el sistema aún permitía que la extensión pasara.
La vulnerabilidad se reportó de manera responsable al equipo de Open VSX el 8 de febrero de 2026. El equipo respondió rápidamente y lanzó una solución funcional el 11 de febrero de 2026, solo tres días después de recibir el informe.
Cómo funcionaba el error de fallo abierto en la práctica
El problema técnico residía en dos archivos clave: ExtensionScanService.java y PublishExtensionVersionHandler.java. Cuando se ejecutaba el método de envío del escaneo y todos los trabajos de escáner fallaban al encolarse debido a una sobrecarga de la base de datos, devolvía un valor de “false”.
El llamador en el archivo del manejador interpretaba este “false” como si no hubiera escáneres configurados, lo que se consideraba un estado seguro y normal.
En lugar de bloquear la extensión, el sistema llamaba a scanService.markScanPassed() y luego activaba la extensión de inmediato para su descarga.
.webp)
Lo que empeoraba las cosas era que la misma lógica defectuosa existía dentro de ExtensionScanJobRecoveryService.java, que se había construido específicamente como un sistema de respaldo para reintentar escaneos fallidos. La red de seguridad tenía el mismo fallo que el sistema que debía proteger.
Un atacante podía explotar esto preparando un lote de archivos de extensión maliciosos .vsix y enviándolos todos a la vez a través del punto final de publicación. Sin limitación de tasa, los intentos repetidos no tenían costo.
Cada ronda de publicaciones masivas sobrecargaba el grupo de conexiones de la base de datos hasta que el trabajo de escaneo comenzaba a fallar al encolarse. Una vez que esto ocurría, se activaba la condición de fallo abierto, la extensión se publicaba y nada en la interfaz de usuario indicaba que se había omitido alguna comprobación.
Los usuarios que instalaron extensiones nuevas o actualizadas desde el mercado de Open VSX durante la ventana vulnerable, que existió antes del parche del 11 de febrero de 2026, deberían revisar esas extensiones con cuidado.
Los desarrolladores que construyan canalizaciones de escaneo similares deben asegurarse de que los estados de fallo siempre se manejen por separado de los estados de “nada que hacer”. Un único valor de retorno nunca debería usarse para describir tanto una elección de configuración deliberada como un error del sistema.
Cuando un escáner falla al ejecutarse, la respuesta correcta es bloquear la extensión, no aprobarla. También se recomienda encarecidamente implementar limitación de tasa en los puntos finales de publicación para evitar el agotamiento del grupo de conexiones mediante inundaciones repetidas.
Fuentes:
https://cybersecuritynews.com/open-vsxs-new-scanner-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.