(https://www.bleepstatic.com/content/hl-images/2024/10/08/patch_tuesday_microsoft.jpg)
Martes de Parches de julio de 2025 de Microsoft, que incluye actualizaciones de seguridad para 137 vulnerabilidades, incluyendo una vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server.
Este Martes de Parches también corrige catorce vulnerabilidades "críticas": diez de ellas son vulnerabilidades de ejecución remota de código, una es una vulnerabilidad de divulgación de información y dos son vulnerabilidades de ataque de canal lateral de AMD.
El número de errores en cada categoría de vulnerabilidad se detalla a continuación:
53 vulnerabilidades de elevación de privilegios
8 vulnerabilidades de omisión de funciones de seguridad
41 vulnerabilidades de ejecución remota de código
18 vulnerabilidades de divulgación de información
6 vulnerabilidades de denegación de servicio
4 vulnerabilidades de suplantación de identidad
Estos recuentos no incluyen cuatro problemas de Mariner y tres de Microsoft Edge corregidos a principios de este mes.
Un día cero y una vulnerabilidad crítica en Microsoft Office
El martes de parches de este mes corrige un día cero divulgado públicamente en Microsoft SQL Server. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente, mientras que no existe una solución oficial disponible.
El día cero divulgado públicamente es:
CVE-2025-49719 - Vulnerabilidad de divulgación de información en Microsoft SQL Server
Microsoft corrige una vulnerabilidad en Microsoft SQL Server que podría permitir que un atacante remoto no autenticado acceda a datos de memoria no inicializada.
"La validación de entrada incorrecta en SQL Server permite que un atacante no autorizado divulgue información a través de una red", explica Microsoft.
Los administradores pueden corregir la vulnerabilidad instalando la última versión de Microsoft SQL Server y el controlador OLE DB 18 o 19 de Microsoft.
Microsoft atribuye el descubrimiento de esta vulnerabilidad a Vladimir Aleksic, de Microsoft, y no proporciona detalles sobre cómo se divulgó públicamente.
Si bien hubo solo un día cero en este martes de parches, Microsoft reparó numerosas fallas críticas de ejecución remota de código en Microsoft Office que pueden explotarse simplemente abriendo un documento especialmente diseñado o cuando se visualiza a través del panel de vista previa.
Microsoft afirma que las actualizaciones de seguridad para estas fallas aún no están disponibles para Microsoft Office LTSC para Mac 2021 y 2024, y que se lanzarán próximamente.
La compañía también corrigió otro error de ejecución remota (RCE) crítico en Microsoft SharePoint, identificado como CVE-2025-49704, que puede explotarse remotamente a través de internet siempre que se tenga una cuenta en la plataforma.
Actualizaciones recientes de otras compañías
Otros proveedores que publicaron actualizaciones o avisos en julio de 2025
AMD reveló nuevos ataques de programador transitorio basados en un informe de Microsoft titulado "Entrada, salida, fallo de página, fuga: Prueba de límites de aislamiento para fugas microarquitectónicas".
Cisco lanzó numerosos parches este mes, incluyendo uno para credenciales SSH raíz codificadas en Unified CM.
Fortinet lanzó hoy actualizaciones de seguridad para varios productos, como FortiOS, FortiManager, FortiSandbox, FortiIsolator y FortiProxy.
Google lanzó actualizaciones de seguridad para Chrome para corregir una vulnerabilidad de día cero explotada activamente, identificada como CVE-2025-6554. Google no publicó ningún parche de seguridad para Android en su Boletín de Seguridad de Android de julio de 2025.
Grafana ha publicado correcciones de seguridad para cuatro vulnerabilidades de Chromium en el plugin Grafana Image Renderer y el Agente de Monitoreo Sintético.
Ivanti publicó actualizaciones de seguridad para fallas en Ivanti Connect Secure y Policy Secure, Ivanti EPMM e Ivanti EPM. Ninguna de estas vulnerabilidades ha sido reportada como explotada activamente.
SAP publicó las actualizaciones de seguridad de julio para varios productos, incluyendo la actualización de una falla anterior (CVE-2025-30012) en SAP Supplier Relationship Management a una calificación de 10/10.
Actualizaciones de seguridad del martes de parches de julio de 2025
A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de julio de 2025.
Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede consultar el informe completo aquí:
https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-July-2025.html
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2025-patch-tuesday-fixes-one-zero-day-137-flaws/