Por primera vez en 2025, la actualización de Microsoft Patch Tuesday no agrupó correcciones para las vulnerabilidades de seguridad explotadas, pero reconoció que uno de los defectos abordados se conocía públicamente.
El parche resuelve 130 vulnerabilidades junto con Visual Studio, AMD y otras 10 CVE no Microsoft que afectan sus navegadores de borde a base de cromo. De estos 10, están calificados como críticos, mientras que el resto tiene una calificación importante en la gravedad.
«Una racha ganadora de 11 meses parcheando al menos un día cero explotado en la naturaleza que terminó este mes», dijo el ingeniero de investigación de personal senior de Tenable, Satnam Naran.
De estos inconvenientes, 53 se clasifican como errores de escalada de privilegios, seguidos de 42 como ejecución de código remoto, 8 como divulgación de información y 8 como cambio de características de seguridad. Estos parches se suman a otros dos defectos que la compañía ha abordado en el navegador Edge desde el lanzamiento de la actualización de Patch Tuesday el mes pasado.
La vulnerabilidad enumerada como conocida públicamente es un defecto en la divulgación de Microsoft SQL Server (CVE-2025-49719, puntaje CVSS: 7.5).
«Los atacantes pueden no valer nada, pero con suerte, persistencia o un masaje de exploit muy astuto, el premio podría ser un material clave para el cifrado u otra joya de la corona en un servidor SQL», dice Adam Barnett, ingeniero de software principal de Rapid7.
Mike Walters 1, presidente y cofundador de Action1, dijo que la falla fue el resultado de una verificación inapropiada de entrada en la gestión de la memoria de SQL Server, y probablemente permite el acceso a la memoria no inicializada.
«Como resultado, el atacante pudo recuperar los restos de datos confidenciales, como credenciales y cadenas de conexión», agregó Walters. «El uso del controlador OLE DB afecta tanto al motor SQL Server como a la aplicación».
La falla más importante que Microsoft parchó como parte de la actualización de este mes se refiere a los casos de ejecución de código remoto que afectan la negociación de extensión de SPNEGO (NOGOEX). Seguimiento como CVE-2025-47981, tiene una puntuación CVSS de 9.8 de 10.0.
«El desbordamiento del búfer basado en el montón de las negociaciones de extensión de Windows SPNEGO permite a los atacantes rebeldes ejecutar código en la red», dijo Microsoft en su aviso. «Los atacantes podrían explotar esta vulnerabilidad enviando mensajes maliciosos al servidor, lo que lleva a la ejecución de código remoto».
Se cree que el investigador anónimo y Yuki Chen descubrieron y repararon el defecto. Microsoft dijo que el problema solo afecta a las máquinas clientes de Windows que ejecutan Windows 10, versión 1607, etc., para «seguridad en la red: permita que las solicitudes de autenticación PKU2U a esta computadora usen una ID en línea».
«Como de costumbre, la ejecución del código remoto es algo malo, pero el análisis temprano sugiere que esta vulnerabilidad podría ser» decorable «. Esto puede explotarse en malware autopropagante y puede causar muchos traumas increíbles».
«Microsoft está claro sobre los requisitos previos aquí. No se requiere autenticación. Es solo el acceso a la red, y Microsoft considera la explotación» más probable «. No debemos engañarnos a nosotros mismos, si la industria privada se da cuenta de esta vulnerabilidad, ciertamente necesita que todos los atacantes dejen caer todo en todos los atacantes el radar, los remoquemos rápidamente y se aceleremos el sistema expuesto».
Other vulnerabilities of importance include remote code execution flaws impacting Windows KDC Proxy Service (CVE-2025-49735, CVSS score: 8.1), Windows Hyper-V (CVE-2025-48822, CVSS score: 8.6), and Microsoft Office (CVE-2025-49695, CVE-2025-496966, and CVE-2025-49697, puntaje CVSS: 8.4).
«Lo que hace que CVE-2025-49735 sea importante es la falta de exposición a la red combinada con los privilegios requeridos y la interacción del usuario. A pesar de la alta complejidad del ataque, establece que la vulnerabilidad es particularmente atractiva y atractiva para los actores en APT y estado-nación.
«Los atacantes deben ganar las condiciones de carrera (los defectos del tiempo cuando la memoria se libera y reasigna en una ventana en particular), lo que significa que no son confiables. Aún así, tales problemas se pueden armarse con técnicas como preparar el montón, lo que hace factible la explotación final».
En otro lugar, esta actualización cierra cinco omitir de características de seguridad para BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804 y CVE-2025-48818, CVSS: 6.8).
«Los atacantes podrían explotar esta vulnerabilidad cargando el archivo winre.wim mientras el volumen del sistema operativo se desbloquea y otorga acceso a datos cifrados de bitlocker», dijo Microsoft sobre CVE-2025-48804.
Los investigadores de Microsoft Offensive Research and Security Engineering (MORSE) Netanel Ben Simon y Alon Levieviv han sido reconocidos por informar cinco problemas con la herramienta de cifrado de disco incorporada.
«Si se explotan, estos defectos pueden revelar archivos sensibles, credenciales y manipular la integridad del sistema», dice Jacob Ashdown, ingeniero de seguridad cibernética de Immersive. «Esto plantea un riesgo particular, especialmente para las organizaciones donde los dispositivos se pueden perder o robar, ya que los atacantes con acceso práctico pueden evitar el cifrado y extraer datos confidenciales».
También vale la pena señalar que el 8 de julio de 2025, marca oficialmente el final del camino para SQL Server 2012.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas, rectificando varias vulnerabilidades, incluidas las -.
Adobe AMD Atlassian BitDefender Broadcom (incluyendo VMware) Cisco Citrix D-Link Dell Drupal F5 Fortinet Fortra Gigabyte Gitlab Google Chrome Chrome Chrome Google Chrome Grafana HikVision HP Enterprise Alpine Linux, Amazonux, Amazon, Arch Linux, DeBian, Gentoo, Oracle Linux, Maje, Red Hat, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Rocky, Suseux, Suseux, Suseux. Ubuntu Mitsubishi Electric MongoDB Moxa Moxila Thunderbird Nvidia Oppo Oppo Alte Networks Software de progreso Supermicro Veeam WordPress Zimbra, y Zoom
Source link
