Microsoft corrige 63 vulnerabilidades, incluyendo una vulnerabilidad de día cero que estaba siendo explotada activamente.

Redazione RHC : 13 noviembre 2025 07:46

En la actualización de seguridad del martes de noviembre, Microsoft corrigió 63 vulnerabilidades , incluyendo una vulnerabilidad crítica de día cero que ya había sido explotada en ataques. En esta ocasión, las correcciones afectaron a una amplia gama de componentes de Windows y productos de Microsoft, desde el núcleo del sistema operativo hasta la suite Office y las soluciones en la nube.

Según la propia compañía, la vulnerabilidad más peligrosa afectaba al núcleo de Windows y permitía la escalada de privilegios del sistema; a esta vulnerabilidad se le asignó el identificador CVE-2025-62215. El fallo permitía la escalada de privilegios locales al aprovechar una sincronización incorrecta durante el uso compartido de recursos . El error fue descubierto por el equipo interno de inteligencia de amenazas de Microsoft.

De las vulnerabilidades restantes, 29 implican escalada de privilegios, 16 permiten la ejecución remota de código, 11 proporcionan acceso a información confidencial, tres provocan fallos del sistema, dos eluden mecanismos de seguridad y dos implican manipulación de datos. Cuatro de las vulnerabilidades descubiertas se han clasificado como «críticas», en parte debido al potencial de ejecución remota de código.

Las actualizaciones afectaron tanto a las versiones modernas de Windows como a los sistemas antiguos. Windows 10 recibió la actualización por primera vez durante el período de soporte extendido.

Microsoft también lanzó una actualización no programada para corregir un error que impedía a los usuarios inscribirse en el programa ESU . Además de las correcciones de vulnerabilidades, la compañía publicó las actualizaciones KB5066835 y KB5066793 para Windows 11 y la compilación KB5068781 para Windows 10.

Además de Microsoft, otros proveedores también han publicado actualizaciones. Adobe ha corregido vulnerabilidades en InDesign, Illustrator, Photoshop y otros productos. Cisco ha solucionado errores en varias soluciones, incluidos sistemas ASA y de identificación de usuario, y ha alertado sobre una nueva oleada de ataques que explotan vulnerabilidades antiguas. Se ha corregido un error crítico de ejecución remota de código en la biblioteca JavaScript expr-eval.

Fortinet ha publicado una actualización para FortiOS que soluciona un problema de escalada de privilegios. El boletín de seguridad de Android de noviembre de Google corrigió dos vulnerabilidades . Además, Ivanti , SAP , Samsung y QNAP han publicado sus actualizaciones mensuales en sincronía con Microsoft. En concreto, QNAP ha corregido siete vulnerabilidades de día cero demostradas durante la competición de hacking Pwn2Own Ireland 2025.

Este mes, las vulnerabilidades en los productos de Microsoft Office, incluidos Excel y Word, merecen especial atención. Se han corregido tanto fallos de divulgación de información como errores que podrían permitir la ejecución de código malicioso al abrir documentos. También se han identificado vulnerabilidades en Windows Kerberos, componentes de DirectX, controladores de Bluetooth y Wi-Fi, Escritorio remoto y la interfaz gráfica de usuario del Subsistema de Windows para Linux.

Algunos problemas afectaron a Visual Studio y a las extensiones de CoPilot, poniendo de manifiesto las vulnerabilidades de las herramientas de desarrollo.

La lista completa de vulnerabilidades resueltas está disponible en la documentación oficial de Microsoft. Debido a la explotación activa de algunas de estas vulnerabilidades, se recomienda actualizar los sistemas a la última versión lo antes posible.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli