Microsoft publicó el martes correcciones para un récord de 206 vulnerabilidades de seguridad que afectan su cartera de software. Esto incluye tres fallas que se anunciaron en el momento del lanzamiento.
De las 206 deficiencias, 39 están calificadas como Críticas y 167 como Importantes. Esto incluye 63 escalada de privilegios, 56 ejecución remota de código, 30 divulgación de información, 27 suplantación de identidad, 20 omisión de funciones de seguridad, 7 denegación de servicio y 3 vulnerabilidades de manipulación.
Este parche también incluye dos CVE que no son de Microsoft: vulnerabilidad de elevación de privilegios que afecta al kernel de Windows (CVE-2025-10263) y omisión de la función de seguridad de arranque seguro UEFI (CVE-2026-8863). Estos se suman a los más de 350 fallos de seguridad que Google ha solucionado en Chromium, que se utiliza en el navegador Edge de Microsoft.
Encabezando la lista de correcciones está CVE-2026-45657 (puntuación CVSS: 9,8). Este es un problema de uso después de la liberación que afecta el kernel de Windows y podría conducir a la ejecución remota de código.
«Un atacante podría explotar esta vulnerabilidad enviando tráfico de red especialmente diseñado a un sistema Windows vulnerable», dijo Microsoft. «Si tiene éxito, un paquete de red malicioso podría causar una falla en la forma en que el kernel de Windows maneja ciertos datos TCP/IP, permitiendo potencialmente a un atacante ejecutar código con privilegios a nivel de sistema sin requerir inicio de sesión o interacción del usuario».
Otras vulnerabilidades notables se enumeran a continuación.
CVE-2026-47291 (Puntuación CVSS: 9,8): desbordamiento de enteros o falla envolvente en Windows HTTP.sys permite que un atacante no autorizado ejecute código a través de la red. CVE-2026-44815 (Puntuación CVSS: 9,8): una vulnerabilidad de desbordamiento del búfer basada en pila en el cliente DHCP de Windows permite que un atacante no autorizado ejecute código a través de la red.
Alex Vovk, director ejecutivo y cofundador de Action1, dijo sobre CVE-2026-44815: «Esta falla no requiere ninguna credencial ni acción del usuario y puede convertir el tráfico de red en un compromiso para todo el sistema». «Un atacante podría enviar tráfico de red especialmente diseñado a un sistema configurado para el servicio DHCP».
«Una explotación exitosa podría llevar a la ejecución de código malicioso en la red, impactando significativamente la confidencialidad, integridad y disponibilidad. Debido a que DHCP es una funcionalidad central de la red, esta vulnerabilidad crea un riesgo significativo. La explotación exitosa podría llevar a comprometer el servidor, implementación de malware, robo de datos, interrupción del servicio y movimiento profundo en la red. Los sistemas que manejan el tráfico DHCP deben ser tratados como objetivos de parches de alta prioridad».
Microsoft también lanzó un parche que aborda CVE-2026-45585 (puntaje CVSS: 6.8), una característica de seguridad que evita la vulnerabilidad en Windows BitLocker. Esto se produce después de que el investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse) lanzara un exploit de prueba de concepto (PoC) llamado YellowKey el mes pasado.
CVE-2026-45585 es una de varias omisiones de funciones seguras que los fabricantes de Windows han abordado este mes.
«Un atacante puede eludir la funcionalidad de cifrado de dispositivos BitLocker en los dispositivos de almacenamiento del sistema», dijo Microsoft en un aviso sobre tres cuestiones. «Un atacante con acceso físico al objetivo podría aprovechar esta vulnerabilidad para acceder a datos cifrados».
Según el investigador de seguridad Will Dormann, se considera que CVE-2026-50507 es una solución para una derivación de BitLocker llamada bitskrieg que permite el acceso completo a datos cifrados. Tenga en cuenta que CVE-2026-50507 figura como día cero público, junto con CVE-2026-49160 y CVE-2026-45586.
CVE-2026-45586 (Puntuación CVSS: 7,8) – Marco de traducción colaborativa de Windows (CTFMON) Vulnerabilidad de elevación de privilegios CVE-2026-49160 (Puntuación CVSS: 7,5) – Vulnerabilidad de denegación de servicio HTTP.sys
CVE-2026-49160 está relacionado con HTTP2/Bomb, una técnica de ataque que se puede utilizar para desconectar un servidor web en segundos. Las pruebas realizadas por Calif encontraron que el servidor IIS consumió 64 GB de RAM en aproximadamente 45 segundos. Para mitigar este ataque, Microsoft introdujo una nueva configuración de registro «MaxHeadersCount» que limita la cantidad de encabezados en las solicitudes HTTP/2 y HTTP/3.
«Limitar los encabezados HTTP puede proteger sus sistemas y servidores del uso excesivo de memoria, alto consumo de CPU y ataques de denegación de servicio», dijo Microsoft. «Debido a que se utiliza la compresión de encabezados HTTP/2 (HPACK) o HTTP/3 (QPACK) e implica un procesamiento de protocolos más complejo, el rendimiento y la confiabilidad se pueden mantener aplicando límites de encabezados como MaxHeadersCount».
Mientras tanto, se sospecha que CVE-2026-45586 es una solución para un exploit de escalada de privilegios de día cero lanzado por Chaotic Eclipse con el nombre GreenPlasma.
Finalmente, la actualización de junio de 2026 también incluye MiniPlasma, otra vulnerabilidad revelada por Chaotic Eclipse como una solución incompleta para CVE-2020-17103. Microsoft abordó originalmente esta vulnerabilidad en diciembre de 2020.
«Microsoft recomienda instalar la actualización de junio de 2026 para los sistemas operativos Windows para abordar de manera integral la vulnerabilidad identificada en CVE-2020-17103 y recientemente denominada ‘MiniPlasma'», dijo el gigante tecnológico en una actualización de aviso.
Se cree que el aumento en la cantidad de parches se debe al uso de enfoques de descubrimiento de vulnerabilidades impulsados por inteligencia artificial (IA), y Microsoft dice que esta tendencia continuará en el futuro previsible.
«A medida que se abra la proverbial caja de Pandora y estén disponibles modelos de IA más avanzados, esperamos que los estándares sigan aumentando en todos los ámbitos, no sólo el martes de parches», dijo Sanam Narang, ingeniero senior de investigación de Tenable, en un comunicado.
Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa de Día Cero (ZDI) de TrendAI, dijo que la caída significativa en las vulnerabilidades de Microsoft es evidencia de cómo la IA está impulsando el descubrimiento de fallas a una escala incontrolable.
«La cantidad actual de CVE que Microsoft ha enviado este año excede la cantidad total de CVE enviadas en todo 2018», dijo Childs. «Es inusual que Microsoft pueda producir tantos parches en un mes y creo que muchos evaluadores se preguntan cuáles son los problemas de calidad».
Este parche llega cuando Chaotic Eclipse lanza otro exploit PoC de día cero de Microsoft Defender llamado RoguePlanet, que se caracteriza por ser una condición de carrera que puede usarse para generar un símbolo del sistema de Windows con privilegios de SISTEMA.
Source link
