Microsoft November 2025: Martes de parches

Iniciado por AXCESS, Noviembre 13, 2025, 12:16:44 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 13, 2025, 12:16:44 AM Ultima modificación: Noviembre 13, 2025, 12:18:19 AM por AXCESS
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este pasado martes fue, martes de parches de Microsoft, de noviembre de 2025, que incluye actualizaciones de seguridad para 63 vulnerabilidades, entre ellas una vulnerabilidad de día cero que se está explotando activamente.

Este Patch Tuesday también corrige cuatro vulnerabilidades críticas: dos de ellas permiten la ejecución remota de código, una permite la elevación de privilegios y la cuarta permite la divulgación de información.

A continuación, se detalla el número de errores en cada categoría de vulnerabilidad:

29 vulnerabilidades de elevación de privilegios

2 vulnerabilidades de omisión de funciones de seguridad

16 vulnerabilidades de ejecución remota de código

11 vulnerabilidades de divulgación de información

3 vulnerabilidades de denegación de servicio

2 vulnerabilidades de suplantación de identidad

Cuando se informa sobre las actualizaciones de seguridad del martes de parches, solo contabilizamos las publicadas en este momento por Microsoft. Por lo tanto, el número de fallos no incluye las vulnerabilidades de Microsoft Edge y Mariner corregidas a principios de este mes.

Hoy también se publica la primera actualización de seguridad extendida (ESU) para Windows 10, así que, si aún utiliza este sistema operativo sin soporte, le recomendamos encarecidamente que actualice a Windows 11 o se inscriba en el programa ESU:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para quienes tengan problemas para inscribirse en el programa, Microsoft publicó una actualización fuera de banda para corregir un error que impedía las inscripciones:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

1 vulnerabilidad de día cero explotada activamente

La actualización de seguridad de este mes corrige una vulnerabilidad de día cero en el kernel de Windows que estaba siendo explotada activamente.

Microsoft clasifica una vulnerabilidad de día cero como aquella que se ha divulgado públicamente o que se está explotando activamente mientras no exista una solución oficial disponible.

La vulnerabilidad de día cero explotada es:

CVE-2025-62215 - Vulnerabilidad de elevación de privilegios en el kernel de Windows

Microsoft ha corregido una vulnerabilidad en el kernel de Windows que se explotaba para obtener privilegios de SYSTEM en dispositivos Windows.

"La ejecución concurrente mediante un recurso compartido con una sincronización incorrecta (una 'condición de carrera') en el kernel de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft indica que la vulnerabilidad requiere que el atacante supere una condición de carrera, tras lo cual obtiene privilegios de SYSTEM.

Microsoft ha atribuido la vulnerabilidad al Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y al Centro de Respuesta de Seguridad de Microsoft (MSRC), pero no ha revelado cómo se explotó.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en noviembre de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para InDesign, InCopy, Photoshop, Illustrator, Substance 3D, Pass y Adobe Format.

Cisco publicó parches para varios productos, incluidos Cisco ASA, Unified Contact Center y servicios de identidad. Cisco también advirtió este mes sobre el descubrimiento de un nuevo ataque que explota vulnerabilidades antiguas.

Los desarrolladores de expr-eval publicaron parches para corregir una vulnerabilidad crítica de ejecución remota de código (RCE) en la biblioteca JavaScript.

Fortinet publicó una actualización de seguridad para una vulnerabilidad de elevación de privilegios de gravedad media en FortiOS.

Google publicó el boletín de seguridad de Android de noviembre con correcciones para dos vulnerabilidades.

Ivanti publicó parches de seguridad como parte de sus actualizaciones del Patch Tuesday de noviembre de 2025.

Las actualizaciones de seguridad de runC corrigen vulnerabilidades que permitían a los atacantes escapar de los contenedores Docker y Kubernetes. QNAP publicó actualizaciones de seguridad para siete vulnerabilidades de día cero explotadas para piratear dispositivos NAS durante el concurso de piratería informática Pwn2Own Ireland 2025.

SAP publicó las actualizaciones de seguridad de noviembre para varios productos, incluyendo una solución para una vulnerabilidad de credenciales codificadas en SQL Anywhere Monitor.

Samsung publicó sus actualizaciones de seguridad de noviembre con correcciones para 25 vulnerabilidades.

Actualizaciones de seguridad del Patch Tuesday de noviembre de 2025

A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del Patch Tuesday de noviembre de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas afectados, consulte el informe completo aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario