Visual Studio Code 1.123.2 Parchea una Vulnerabilidad Crítica en la Expansión de Rutas de Archivo
- 10 Jun 2026 02:46 PM
Microsoft ha lanzado Visual Studio Code 1.123.2, una actualización de seguridad crítica que corrige una vulnerabilidad en el sistema de aprobación automática de comandos. La falla permitía que archivos maliciosos eludieran las comprobaciones de expansión de rutas utilizando caracteres especiales como "~" (tilde). Esta versión ya está disponible para equipos de cómputo con Windows, macOS y Linux.
Vulnerabilidad Crítica en la Aprobación de Rutas
La versión 1.123.2 soluciona una vulnerabilidad de seguridad en el sistema de aprobación automática de comandos de la terminal.
El problema residía en la forma en que VS Code manejaba la expansión de rutas de archivo antes de conceder permisos de escritura a scripts automatizados.
El origen del problema: La falla permitía que scripts maliciosos o mal escritos eludieran las comprobaciones de seguridad utilizando expansiones de ruta ambiguas. Específicamente, el uso de caracteres como ~ (tilde) en sistemas Unix y variables de entorno en Windows (%TEMP%, etc.) podía engañar al sistema de aprobación para que concediera permisos sin verificar la ruta completamente resuelta.
El impacto potencial: Un atacante podría haber explotado esta vulnerabilidad para que el editor otorgara permisos de escritura a ubicaciones no deseadas del sistema, comprometiendo potencialmente la integridad de los archivos del usuario.
La Solución Implementada
Microsoft ha solucionado el problema implementando una validación más estricta en la resolución de rutas.
A partir de esta versión:
-
El editor fuerza la resolución completa del directorio antes de conceder permisos de escritura.
-
Las rutas que contienen tildes (
~) o variables de entorno ahora se tratan como no confiables hasta que se resuelven completamente. -
El sistema de aprobación automática de comandos de la terminal valida el destino expandido en lugar de confiar en la lógica de ruta absoluta sin resolver.
Recomendaciones para los Usuarios
Los desarrolladores que utilizan VS Code deben actualizar a la versión 1.123.2 lo antes posible para protegerse contra esta vulnerabilidad.
Tras la actualización, se recomienda:
-
Reiniciar el espacio de trabajo para asegurar que las extensiones adopten la nueva validación más estricta.
-
Estar atentos a posibles falsos rechazos de escritura en scripts que dependían del comportamiento anterior de expansión de rutas.
Disponibilidad
VS Code 1.123.2 ya está disponible para su descarga gratuita a través de los canales oficiales del proyecto.
- Sitio web oficial: code.visualstudio.com
- Actualización desde el editor: La mayoría de los usuarios recibirán la actualización automáticamente a través del sistema integrado. Para forzar la comprobación manual: Menú Help → Check for Updates.
Opciones de descarga por plataforma
| Plataforma | Formato | Arquitecturas |
|---|---|---|
| Windows | Instalador .exe / Portable .zip |
x64, ARM64 |
| macOS | Universal .zip |
x64, ARM64 |
| Linux | .deb, .rpm, .tar.gz |
x64, ARM64, ARM32 |
Esta actualización es particularmente relevante para desarrolladores que ejecutan scripts automatizados o trabajan con entornos de terminal que utilizan expansiones de ruta, ya que corrige un vector de ataque que podría haber comprometido la seguridad del sistema.