Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los investigadores descubren un error de suplantación de identidad del editor en el instalador de Microsoft Visual Studio
  • Tecnología

Los investigadores descubren un error de suplantación de identidad del editor en el instalador de Microsoft Visual Studio

teknomers 12 de Haziran de 2023 (Last updated: 12 de Haziran de 2023) 3 minutes read
Los investigadores descubren un error de suplantación de identidad del


12 de junio de 2023Ravie LakshmanánVulnerabilidad / Software

Los investigadores de seguridad advirtieron sobre una falla “fácilmente explotable” en el instalador de Microsoft Visual Studio que podría ser abusada por un actor malicioso para hacerse pasar por un editor legítimo y distribuir extensiones maliciosas.

“Un actor de amenazas podría hacerse pasar por un editor popular y emitir una extensión maliciosa para comprometer un sistema específico”, dijo el investigador de Varonis Dolev Taler. dicho. “Se han utilizado extensiones maliciosas para robar información confidencial, acceder y cambiar el código de forma silenciosa, o tomar el control total de un sistema”.

La vulnerabilidad, que se rastrea como CVE-2023-28299 (puntuación CVSS: 5,5), fue abordado por Microsoft como parte de sus actualizaciones del martes de parches para abril de 2023, y lo describió como una falla de suplantación de identidad.

La seguridad cibernética

El error descubierto por Varonis tiene que ver con la interfaz de usuario de Visual Studio, que permite firmas digitales de editores falsificados.

Específicamente, evita de manera trivial una restricción que impide que los usuarios ingresen información en la propiedad de extensión “nombre del producto” al abrir una extensión de Visual Studio (VSIX) como un archivo .ZIP y luego agregando manualmente caracteres de nueva línea a la etiqueta “DisplayName” en el archivo “extension.vsixmanifest”.

estudio visual de microsoft

Al introducir suficientes caracteres de nueva línea en el archivo vsixmanifest y agregar texto falso de “Firma digital”, se descubrió que las advertencias sobre la extensión que no está firmada digitalmente podrían suprimirse fácilmente, engañando así a un desarrollador para que la instale.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

En un escenario de ataque hipotético, un mal actor podría enviar un correo electrónico de phishing con la extensión VSIX falsificada camuflándolo como una actualización de software legítima y, después de la instalación, afianzarse en la máquina objetivo.

El acceso no autorizado podría utilizarse como plataforma de lanzamiento para obtener un control más profundo de la red y facilitar el robo de información confidencial.

“La baja complejidad y los privilegios necesarios hacen que este exploit sea fácil de armar”, dijo Taler. “Los actores de amenazas podrían usar esta vulnerabilidad para emitir extensiones maliciosas falsificadas con la intención de comprometer los sistemas”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La tarifa de uso compartido de la cuenta parece estar dando sus frutos para Netflix
Next: Así se fríe un pollo jugoso – No cometas el mismo error que muchos otros

Related Stories

Hasta un 76% de descuento en NordVPN por las rebajas:
  • Tecnología

Hasta un 76% de descuento en NordVPN por las rebajas: ¿cuánto tiempo queda para aprovecharlo?

teknomers 5 de Temmuz de 2026
La Vía Láctea es más vasta de lo que pensábamos:
  • Tecnología

La Vía Láctea es más vasta de lo que pensábamos: XMM-Newton revisa la distancia de sus brazos espirales externos

teknomers 5 de Temmuz de 2026
Dentro de la mente de Dean Locke en Silverstone, el
  • Tecnología

Dentro de la mente de Dean Locke en Silverstone, el hombre que decide lo que los aficionados a la F1 ven durante la carrera.

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: El partido de Inglaterra con México retrasado una hora

teknomers 5 de Temmuz de 2026
  • General

La psicología de la pelea: La psicología dice que las personas que se involucran en muchas peleas no siempre son agresivas, pueden estar reaccionando al mundo de manera diferente.

teknomers 5 de Temmuz de 2026
  • Finanzas

«Un acuerdo de principio»: ¿Será EasyJet adquirida por un fondo estadounidense por más de 5 mil millones de euros?

teknomers 5 de Temmuz de 2026
Brasil-Noruega (1-2): los números impresionantes de Erling Haaland, imparable con
  • Deporte

Brasil-Noruega (1-2): los números impresionantes de Erling Haaland, imparable con su selección

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.