Redazione RHC : 14 octubre 2025 21:13
En su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero explotadas activamente , según informó la compañía en su última actualización de seguridad . Este es el mayor conjunto de errores revelado por el gigante tecnológico este año.
Las vulnerabilidades de día cero, CVE-2025-24990 que afecta al controlador de módem de Windows Agere y CVE-2025-59230 que afecta al Administrador de conexión de acceso remoto de Windows , tienen ambas una puntuación CVSS de 7,8.
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) agregó ambas vulnerabilidades de día cero a su catálogo KEV de vulnerabilidades conocidas el martes.
Microsoft anunció que el controlador de módem Agere de terceros , incluido en los sistemas operativos Windows compatibles, se eliminó en la actualización de seguridad de octubre. Los módems de fax que dependen de este controlador ya no funcionarán en Windows, según la compañía.
Los atacantes pueden obtener privilegios de administrador explotando la vulnerabilidad CVE-2025-24990 . « Todas las versiones compatibles de Windows podrían verse afectadas si se explota esta vulnerabilidad, incluso si el módem no está en uso», declaró Microsoft en su resumen del error.
Microsoft ha declarado que la vulnerabilidad de control de acceso inadecuado que afecta al Administrador de conexión de acceso remoto de Windows puede ser explotada por un atacante autorizado para elevar privilegios localmente y obtener privilegios del sistema.
El Administrador de Conexión de Acceso Remoto de Windows , un servicio utilizado para administrar conexiones de red remotas mediante redes privadas virtuales y redes de acceso telefónico, es un elemento recurrente en el Martes de Parches, con más de 20 apariciones desde enero de 2022, según declaró Satnam Narang, ingeniero sénior de investigación de personal de Tenable, en un correo electrónico. «Esta es la primera vez que observamos que el fallo se explota como un día cero».
Las vulnerabilidades más graves reveladas este mes incluyen CVE-2025-55315, que afecta a ASP.NET Core, y CVE-2025-49708, que afecta al componente gráfico de Microsoft. Microsoft ha declarado que estas vulnerabilidades tienen menor probabilidad de ser explotadas, pero ambas tienen una puntuación CVSS de 9,9.
Microsoft ha marcado 14 fallas como las más propensas a ser explotadas este mes, incluidas un par de vulnerabilidades críticas con una calificación CVSS de 9.8: CVE-2025-59246 que afecta a Azure Entra ID y CVE-2025-59287 que afecta a Windows Server Update Service.
Este mes, el proveedor reveló cinco vulnerabilidades críticas y 121 vulnerabilidades de alta gravedad . La lista completa de vulnerabilidades abordadas este mes está disponible en el Centro de Respuesta de Seguridad de Microsoft .
RedazioneEn su última actualización, el gigante tecnológico corrigió 175 vulnerabilidades que afectaban a sus productos principales y sistemas subyacentes, incluyendo dos vulnerabilidades de día cero expl...
Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
