Redazione RHC : 14 octubre 2025 21:13
En su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero explotadas activamente , según informó la compañía en su última actualización de seguridad . Este es el mayor conjunto de errores revelado por el gigante tecnológico este año.
Las vulnerabilidades de día cero, CVE-2025-24990 que afecta al controlador de módem de Windows Agere y CVE-2025-59230 que afecta al Administrador de conexión de acceso remoto de Windows , tienen ambas una puntuación CVSS de 7,8.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) agregó ambas vulnerabilidades de día cero a su catálogo KEV de vulnerabilidades conocidas el martes.
Microsoft anunció que el controlador de módem Agere de terceros , incluido en los sistemas operativos Windows compatibles, se eliminó en la actualización de seguridad de octubre. Los módems de fax que dependen de este controlador ya no funcionarán en Windows, según la compañía.
Los atacantes pueden obtener privilegios de administrador explotando la vulnerabilidad CVE-2025-24990 . « Todas las versiones compatibles de Windows podrían verse afectadas si se explota esta vulnerabilidad, incluso si el módem no está en uso», declaró Microsoft en su resumen del error.
Microsoft ha declarado que la vulnerabilidad de control de acceso inadecuado que afecta al Administrador de conexión de acceso remoto de Windows puede ser explotada por un atacante autorizado para elevar privilegios localmente y obtener privilegios del sistema.
El Administrador de Conexión de Acceso Remoto de Windows , un servicio utilizado para administrar conexiones de red remotas mediante redes privadas virtuales y redes de acceso telefónico, es un elemento recurrente en el Martes de Parches, con más de 20 apariciones desde enero de 2022, según declaró Satnam Narang, ingeniero sénior de investigación de personal de Tenable, en un correo electrónico. «Esta es la primera vez que observamos que el fallo se explota como un día cero».
Las vulnerabilidades más graves reveladas este mes incluyen CVE-2025-55315, que afecta a ASP.NET Core, y CVE-2025-49708, que afecta al componente gráfico de Microsoft. Microsoft ha declarado que estas vulnerabilidades tienen menor probabilidad de ser explotadas, pero ambas tienen una puntuación CVSS de 9,9.
Microsoft ha marcado 14 fallas como las más propensas a ser explotadas este mes, incluidas un par de vulnerabilidades críticas con una calificación CVSS de 9.8: CVE-2025-59246 que afecta a Azure Entra ID y CVE-2025-59287 que afecta a Windows Server Update Service.
Este mes, el proveedor reveló cinco vulnerabilidades críticas y 121 vulnerabilidades de alta gravedad . La lista completa de vulnerabilidades abordadas este mes está disponible en el Centro de Respuesta de Seguridad de Microsoft .
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
