Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4715
)
-
▼
junio
(Total:
332
)
-
Musk planea centros de datos IA espaciales
-
Anthropic lanza Claude Fable 5, el primer modelo d...
-
Claude Fable y Mythos 5 superan a GPT 5.5
-
Alerta global por el potencial del dron egipcio Ja...
-
Satélites rusos podrían interferir el GPS europeo
-
La iGPU Intel Graphics 2 Xe3 que se encuentra en C...
-
GitHub desactiva la ejecución automática de script...
-
ASUS presenta placa base CROSSHAIR 2006 no tiene c...
-
Xbox Project Helix recortará memoria y almacenamiento
-
RTX 60 llegarán en 2028
-
NVIDIA DLSS 4.5 y el salto gráfico de CONTROL Reso...
-
ChatGPT: riesgo de robo en compras online
-
Asetek Emma V3 Gen 10 consigue hasta 1,5 ºC menos ...
-
Vulnerabilidad 0-day de Windows BitLocker permite ...
-
Intel Z990 será un gran salto para las CPU Nova La...
-
Ivanti: Grave vulnerabilidad en Sentry permite eje...
-
Microsoft soluciona récord de 206 vulnerabilidades...
-
Detectan un fallo importante en el antivirus de Wi...
-
Anthropic lanza Claude Fable 5, su IA más potente ...
-
Europa obliga a Meta a abrir WhatsApp a IA rivales
-
iOS revela el iPhone Ultra plegable
-
Vulnerabilidad Zero-Day de RoguePlanet en Microsof...
-
Vulnerabilidad en FortiSandbox permite ejecutar co...
-
Robot humanoide conquista volcán y apunta al Everest
-
Ataque de secuestro de cuentas vulnera el servicio...
-
Amazon consumirá el 16,5% de la energía de Aragón
-
Llega códec AV2: 30% más compresión y gratis
-
Google Wallet: identidad digital en la UE
-
Microsoft Defender ya monitoriza el abuso del prot...
-
Ciberdelincuentes usan marcas de IA para robar cre...
-
Gemini de Google busca desplazar a ChatGPT con pre...
-
Nextcloud lanza Hub 26 y Euro-Office
-
Claude Fable: la IA que programa y juega sola
-
UNC3753 ataca bufetes estadounidenses con vishing ...
-
España sigue con WiFi obsoleto en 2026
-
OpenAI transformará ChatGPT
-
Apple abandona Intel en sus Mac
-
Nuevo grupo Pink ataca empresas para robar claves ...
-
Intel celebra los 48 años del primer procesador co...
-
ONU: IA gastará agua de 1.300 millones de personas...
-
Robots destrozan apartamento de Airbnb
-
NVIDIA se alía con Corea del Sur para impulsar la IA
-
Instala funciones ocultas de Windows 11 sin cuenta...
-
Nuevo grupo vinculado a China ataca servidores IIS...
-
Apple integra IA en Xcode 27
-
TDF defiende la soberanía del formato frente a Eur...
-
La UE lanza su Estrategia de Código Abierto para r...
-
NotebookLM crea PDFs, Excel y presentaciones con u...
-
Lanzado Apache HTTP Server 2.4.68 con correcciones...
-
Parches de seguridad de SAP: vulnerabilidades crít...
-
Check Point vincula ataques zero-day de VPN con la...
-
Fallo de un solo carácter en el kernel de Linux pe...
-
Steam Machine y Frame: fecha de lanzamiento
-
AM6 de AMD: DDR6 y PCIe Gen6
-
Tu fibra puede ser rápida, pero tu WiFi no tanto: ...
-
LaLiga extiende bloqueos de IP a Segunda División
-
IA crea gusanos adaptativos
-
NSA usa Claude Mythos para ciberoperaciones ofensi...
-
Grave fallo en VPN de Check Point permite saltar c...
-
Microsoft implementará una nueva carpeta de Acceso...
-
Microsoft fuerza Copilot en Windows
-
Windows 11 eliminará Bing de su búsqueda
-
SK hynix: su gran plan de duplicar la producción d...
-
Ejecutivos recortan empleos por un futuro de IA qu...
-
Explotan vulnerabilidad RCE de LiteLLM para ejecut...
-
Barra de sonido gaming puede ser hackeada a 16 met...
-
Intel muestra su liderazgo sobre AMD: la MSI Claw ...
-
Intel explica cómo reducirá el coste de los portát...
-
Grupo Silent Ransom ataca bufetes de abogados medi...
-
Norcoreanos envían más de 250 ofertas falsas de em...
-
Todo sobre los Pixel 11
-
Nueva vulnerabilidad de Linux permite escalar priv...
-
La alianza de navegadores (BCA) demanda a Microsof...
-
Nidos de pájaro hechos con fibra óptica: el peligr...
-
RTX Spark: el reto de apps x86 y juegos
-
Linux Foundation respalda la IA para crear empleo
-
FBI: China recluta espías en LinkedIn
-
NVIDIA RTX Spark recurre a núcleos Cortex-X925 mod...
-
UNC3753 empleó vishing e intrusiones físicas en ca...
-
Nuevo modo de bloqueo de ChatGPT contra inyeccione...
-
Anthropic pide frenar la IA para evitar perder el ...
-
Ataque de ransomware mantiene cerrada escuela secu...
-
Nuevo Lucid Stealer ataca 18 navegadores, billeter...
-
Comprometido canal de distribución de Hola Browser...
-
Chrome corrige 429 vulnerabilidades, 22 críticas
-
Una aplicación para «estropear» vídeos convirtiénd...
-
WhatsApp frustra ciberataque de NSO con el spyware...
-
Anthropic crea IA de mejora infinita y pide detene...
-
AMD niega la garantía de un Ryzen 9 7950X3D hinchado
-
¿Dejarías que la IA publique por ti en tus redes s...
-
Xbox Series X25: Edición 25 aniversario
-
OWASP publica reporte de seguridad de IA para prof...
-
Varias vulnerabilidades XSS de VMware permiten iny...
-
VS Code implementa un retraso de 2 horas en la act...
-
ChatGPT prepara su súper app de IA
-
Microsoft advierte que Claude Code GitHub Action p...
-
Cadena de RCE crítica en UniFi OS permite acceso r...
-
Google pagará millones a Elon Musk por sus centros...
-
Nueva herramienta EDRChoker bloquea procesos EDR m...
-
Lego recrea la Sagrada Familia con el set más gran...
-
ChatGPT lanza modo de seguridad contra robos de datos
-
Grave vulnerabilidad RCE de Redis permite control ...
-
AMD va a por los portátiles gaming sin NVIDIA: Med...
-
Nuevo grupo de amenazas OP-512 ataca servidores Mi...
-
Nuevo juego para SEGA Master System tras 30 años
-
Cómo separar tus dispositivos domóticos del resto ...
-
Nueva variante de Gafgyt ataca múltiples arquitect...
-
Nuevo ataque de Magecart convierte a Stripe en ser...
-
AMD EXPO Ultra Low Latency ya empieza a llegar a A...
-
Intel frena los rumores sobre sus GPU Arc: seguirá...
-
Publican paquete malicioso de Python que imita a P...
-
Microsoft corrige fallos críticos en Defender para...
-
Apps gratuitas convierten silenciosamente televiso...
-
AMD promete nuevas arquitecturas y procesadores Ze...
-
Usan herramientas confiables para desplegar malware
-
Apps gratuitas en Smart TVs Samsung y LG convierte...
-
Las mejores herramientas para ataques DDoS simulados
-
Google firma acuerdo de 920M mensuales con SpaceX;...
-
Un rayo quema un ordenador al haberse introducido ...
-
Error en un correo electrónico deja fuera a ciento...
-
Vulnerabilidad crítica en Hugging Face Transformer...
-
Gemini Go sustituye a Google Assistant en Android Go
-
IA detecta 21 vulnerabilidades zero-day en FFmpeg ...
-
Nueva filtración de datos de la Universidad de Oxf...
-
AMD se acerca peligrosamente a Intel en las estadí...
-
Guía de niveles de esfuerzo de Claude
-
IA provoca 40.000 despidos tecnológicos en EE UU
-
UE impulsa su soberanía digital e IA
-
-
▼
junio
(Total:
332
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
AMD rediseñó el Ryzen 7 5800X3D para su regreso a AM4, integrando una segunda generación de 3D V-Cache debido a complicaciones en la fabri... -
Se ha revelado un nuevo exploit de denegación de servicio remoto llamado "HTTP/2 Bomb" , que afecta a las configuraciones predeter... -
IPTV-org ofrece una lista IPTV con más de 42.000 canales de televisión gratuitos de todo el mundo, incluyendo noticias, deportes, docume...
GitHub desactiva la ejecución automática de scripts en npm
GitHub cambiará los valores predeterminados de npm 12 para desactivar la ejecución automática de scripts durante la instalación, reduciendo así la superficie de ataque contra malware. También se restringirán las descargas desde URLs remotas y el uso de Git, requiriendo ahora una lista de permisos explícitos. Aunque mejora la seguridad, algunos expertos advierten que el código malicioso podría trasladarse al módulo mismo.
GitHub cambiará los valores predeterminados de npm para que el comando de instalación ya no ejecute scripts automáticamente, desactivando una función comúnmente explotada por paquetes maliciosos como el notorio gusano Shai-Hulud.
El mantenedor Leo Balter afirmó en GitHub: "Los scripts de ciclo de vida en el momento de la instalación son la superficie de ejecución de código más grande en el ecosistema npm. Cada npm install ejecuta scripts de cada dependencia transitiva, por lo que un solo paquete comprometido en cualquier lugar de su árbol puede ejecutar código arbitrario en la máquina de un desarrollador o en un ejecutor de CI (integración continua)".
En npm 12, previsto para julio, cambiarán tres valores predeterminados centrados en la seguridad. Los scripts configurados para preinstall, install o postinstall ya no se ejecutarán a menos que se permitan explícitamente a través de allow-scripts. El flag --allow-git, que extrae dependencias de URLs remotas, estará desactivado por defecto, cerrando una vía de ataque donde un archivo .npmrc malicioso podría anular el ejecutable de Git y lograr la ejecución de código arbitrario. Finalmente, allow-remote tendrá como valor predeterminado "none", bloqueando completamente las descargas de dependencias desde URLs remotas.
Sigue siendo posible permitir la ejecución de scripts mediante una lista de permitidos (allowlist) en el archivo de configuración package.json. Esto estará vinculado por defecto a la versión instalada de un paquete.
Estos son cambios disruptivos, y Balter recomendó que los desarrolladores ejecuten los comandos para permitir scripts en cada paquete actualmente instalado en un proyecto que los requiera. "Esto te protege inmediatamente contra scripts nuevos e inesperados", afirmó. El siguiente paso es revisar estos paquetes y denegar los scripts en aquellos donde no sean necesarios.
Algunos paquetes requieren la aprobación de scripts para funcionar, incluidos los módulos nativos que se compilan al instalar, herramientas de prueba como Playwright y Puppeteer (que obtienen binarios vía postinstall), y Electron, que envuelve el motor del navegador Chromium para aplicaciones de escritorio multiplataforma.
Estas funciones han estado disponibles desde la versión 11.10.0 de npm, lanzada en febrero, pero como flags opcionales en lugar de predeterminados. Esa versión también introdujo min-release-age, que bloquea la instalación de versiones de paquetes más recientes que un número especificado de días, diseñado como una salvaguarda contra paquetes maliciosos recién publicados.
La mejor práctica de seguridad para los desarrolladores que utilizan npm 11.16, la versión actual, es activar estos flags en .npmrc o mediante variables de entorno, lo que también preparará un proyecto para los cambios en la versión 12. Una molestia es que el flag existente ignore-scripts no admite una lista de permitidos, salvo mediante una herramienta adicional. La configuración ignore-scripts anulará a allow-scripts, por lo que los desarrolladores deberán eliminarla, si está establecida en true, para permitir que se ejecuten los scripts aprobados. La configuración allowScripts existe en npm 11 pero es solo consultiva.
Lamentablemente no. "Ahora todo el malware puede moverse del script de instalación al módulo mismo, donde inevitablemente se seguirá ejecutando", dijo un desarrollador. Otra opinión común es que los desarrolladores deberían usar pnpm, que ya tiene valores predeterminados más seguros que npm, incluida una edad mínima de lanzamiento.
Existe consenso, sin embargo, en que estos cambios mejoran la seguridad de npm y que eran muy necesarios. El pull request de este cambio incluye la observación de que "npm es el único gestor de paquetes importante restante que ejecuta scripts de instalación de dependencias por defecto. pnpm v10+, Yarn Berry, Bun y Deno los bloquean todos".
Fuente:
TheRegister
GitHub cambiará los valores predeterminados de npm para que el comando de instalación ya no ejecute scripts automáticamente, desactivando una función comúnmente explotada por paquetes maliciosos como el notorio gusano Shai-Hulud.
El mantenedor Leo Balter afirmó en GitHub: "Los scripts de ciclo de vida en el momento de la instalación son la superficie de ejecución de código más grande en el ecosistema npm. Cada npm install ejecuta scripts de cada dependencia transitiva, por lo que un solo paquete comprometido en cualquier lugar de su árbol puede ejecutar código arbitrario en la máquina de un desarrollador o en un ejecutor de CI (integración continua)".
En npm 12, previsto para julio, cambiarán tres valores predeterminados centrados en la seguridad. Los scripts configurados para preinstall, install o postinstall ya no se ejecutarán a menos que se permitan explícitamente a través de allow-scripts. El flag --allow-git, que extrae dependencias de URLs remotas, estará desactivado por defecto, cerrando una vía de ataque donde un archivo .npmrc malicioso podría anular el ejecutable de Git y lograr la ejecución de código arbitrario. Finalmente, allow-remote tendrá como valor predeterminado "none", bloqueando completamente las descargas de dependencias desde URLs remotas.
Sigue siendo posible permitir la ejecución de scripts mediante una lista de permitidos (allowlist) en el archivo de configuración package.json. Esto estará vinculado por defecto a la versión instalada de un paquete.
Estos son cambios disruptivos, y Balter recomendó que los desarrolladores ejecuten los comandos para permitir scripts en cada paquete actualmente instalado en un proyecto que los requiera. "Esto te protege inmediatamente contra scripts nuevos e inesperados", afirmó. El siguiente paso es revisar estos paquetes y denegar los scripts en aquellos donde no sean necesarios.
Algunos paquetes requieren la aprobación de scripts para funcionar, incluidos los módulos nativos que se compilan al instalar, herramientas de prueba como Playwright y Puppeteer (que obtienen binarios vía postinstall), y Electron, que envuelve el motor del navegador Chromium para aplicaciones de escritorio multiplataforma.
Estas funciones han estado disponibles desde la versión 11.10.0 de npm, lanzada en febrero, pero como flags opcionales en lugar de predeterminados. Esa versión también introdujo min-release-age, que bloquea la instalación de versiones de paquetes más recientes que un número especificado de días, diseñado como una salvaguarda contra paquetes maliciosos recién publicados.
La mejor práctica de seguridad para los desarrolladores que utilizan npm 11.16, la versión actual, es activar estos flags en .npmrc o mediante variables de entorno, lo que también preparará un proyecto para los cambios en la versión 12. Una molestia es que el flag existente ignore-scripts no admite una lista de permitidos, salvo mediante una herramienta adicional. La configuración ignore-scripts anulará a allow-scripts, por lo que los desarrolladores deberán eliminarla, si está establecida en true, para permitir que se ejecuten los scripts aprobados. La configuración allowScripts existe en npm 11 pero es solo consultiva.
¿Solucionará esto los problemas de seguridad de npm?
Lamentablemente no. "Ahora todo el malware puede moverse del script de instalación al módulo mismo, donde inevitablemente se seguirá ejecutando", dijo un desarrollador. Otra opinión común es que los desarrolladores deberían usar pnpm, que ya tiene valores predeterminados más seguros que npm, incluida una edad mínima de lanzamiento.
Existe consenso, sin embargo, en que estos cambios mejoran la seguridad de npm y que eran muy necesarios. El pull request de este cambio incluye la observación de que "npm es el único gestor de paquetes importante restante que ejecuta scripts de instalación de dependencias por defecto. pnpm v10+, Yarn Berry, Bun y Deno los bloquean todos".
Fuente:
TheRegister
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.