(https://www.bleepstatic.com/content/hl-images/2024/10/08/patch_tuesday_microsoft.jpg)
Hoy es el Martes de Parches de octubre de 2025 de Microsoft, que incluye actualizaciones de seguridad para 172 vulnerabilidades, incluyendo seis vulnerabilidades de día cero.
Este Martes de Parches también aborda ocho vulnerabilidades "críticas", cinco de las cuales son vulnerabilidades de ejecución remota de código y tres de elevación de privilegios.
El número de errores en cada categoría de vulnerabilidad se detalla a continuación:
80 Vulnerabilidades de Elevación de Privilegios
11 Vulnerabilidades de Omisión de Características de Seguridad
31 Vulnerabilidades de Ejecución Remota de Código
28 Vulnerabilidades de Divulgación de Información
11 Vulnerabilidades de Denegación de Servicio
10 Vulnerabilidades de Suplantación de Identidad
Cuando se informa sobre las actualizaciones de seguridad del Martes de Parches, solo contabilizamos las publicadas hoy por Microsoft. Por lo tanto, el número de vulnerabilidades no incluye las corregidas en Azure, Mariner, Microsoft Edge y otras vulnerabilidades a principios de este mes.
Cabe destacar que Windows 10 finaliza hoy su soporte, siendo este el último Martes de Parches en el que Microsoft ofrece actualizaciones de seguridad gratuitas para el venerable sistema operativo.
Para seguir recibiendo actualizaciones de seguridad en Windows 10, los consumidores pueden suscribirse a un año de Actualizaciones de Seguridad Extendidas (ESU), y las empresas pueden suscribirse a un total de tres años.
6 vulnerabilidades de día cero en el Martes de Parches de octubre
El Martes de Parches de este mes corrige dos vulnerabilidades de día cero divulgadas públicamente en Windows SMB Server y Microsoft SQL Server. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente, mientras que no existe una solución oficial disponible.
Las tres vulnerabilidades de día cero explotadas son:
CVE-2025-24990 - Vulnerabilidad de elevación de privilegios del controlador del módem Agere de Windows
Microsoft está eliminando un controlador del módem Agere que se utilizó de forma abusiva para obtener privilegios administrativos.
"Microsoft tiene conocimiento de las vulnerabilidades en el controlador del módem Agere de terceros que se incluye de forma nativa en los sistemas operativos Windows compatibles", explica Microsoft.
"Este es un anuncio de la próxima eliminación del controlador ltmdm64.sys. El controlador se ha eliminado en la actualización acumulativa de octubre".
Microsoft advierte que la eliminación de este controlador provocará que el hardware del módem fax relacionado deje de funcionar.
Microsoft ha atribuido la falla a Fabian Mosch y Jordan Jay.
CVE-2025-59230 - Vulnerabilidad de elevación de privilegios en el Administrador de conexión de acceso remoto de Windows
Microsoft corrigió una falla en el Administrador de conexión de acceso remoto de Windows que se explotaba para obtener privilegios de SYSTEM.
"Un control de acceso inadecuado en el Administrador de conexión de acceso remoto de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.
Microsoft afirma que los atacantes deben "invertir un esfuerzo considerable en la preparación o ejecución" para explotar la falla con éxito.
La vulnerabilidad se ha atribuido internamente al Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y al Centro de Respuesta de Seguridad de Microsoft (MSRC).
CVE-2025-47827 - MITRE CVE-2025-47827: Omisión de arranque seguro en el sistema operativo IGEL anterior a la versión 11
Microsoft ha añadido correcciones para una omisión de arranque seguro en el sistema operativo IGEL.
En sistemas operativos IGEL anteriores a la versión 11, el arranque seguro se puede omitir porque el módulo igel-flash-driver verifica incorrectamente una firma criptográfica. En última instancia, se puede montar un sistema de archivos raíz manipulado desde una imagen SquashFS sin verificar, explica Microsoft.
MITRE creó esta CVE en su nombre. Las actualizaciones de Windows documentadas incorporan actualizaciones en IGEL OS que solucionan esta vulnerabilidad. Para obtener más información, consulte la Guía de actualizaciones de seguridad que admite CVE asignados por socios del sector.
La falla fue descubierta por Zack Didcott y divulgada públicamente en un artículo de GitHub.
Las fallas explotadas públicamente son:
CVE-2025-0033 - AMD CVE-2025-0033: Corrupción de RMP durante la inicialización de SNP
Microsoft está trabajando en una solución para una falla de AMD que podría afectar la integridad de la memoria.
CVE-2025-0033 es una vulnerabilidad en los procesadores AMD EPYC que utilizan Virtualización Cifrada Segura – Paginación Anidada Segura (SEV-SNP). Implica una condición de carrera durante la inicialización de la Tabla de Mapa Inverso (RMP) que podría permitir que un hipervisor malicioso o comprometido modifique las entradas de RMP antes de que se bloqueen, lo que podría afectar la integridad de la memoria huésped de SEV-SNP. Este problema no expone datos de texto sin formato ni secretos y requiere control privilegiado del hipervisor para su explotación, explica Microsoft.
En todos los productos de Computación Confidencial de Azure, se han implementado múltiples medidas de seguridad para evitar la vulneración del host, combinando aislamiento, verificación de integridad y monitorización continua. Todas las operaciones del host siguen rutas de administración auditadas y aprobadas, con acceso administrativo estrictamente controlado, limitado y registrado. En conjunto, estas protecciones reducen el riesgo de vulneración del host o manipulación no autorizada de la memoria, lo que ayuda a garantizar que las cargas de trabajo confidenciales y las máquinas virtuales de los clientes mantengan su confidencialidad e integridad en los hosts de Azure.
Microsoft afirma que las actualizaciones de seguridad para esta vulnerabilidad en los clústeres AMD de Azure Confidential Computing (ACC) aún no están completas. Se notificará a los clientes mediante las Alertas de Estado del Servicio de Azure cuando estén disponibles para su implementación.
Las fallas fueron divulgadas públicamente por AMD ayer y descubiertas por Benedict Schlueter, Supraja Sridhara y Shweta Shinde de la ETH de Zúrich.
CVE-2025-24052 - Vulnerabilidad de elevación de privilegios del controlador del módem Agere de Windows
Esta es una falla similar a la CVE-2025-24990, descrita anteriormente, que parece haber sido divulgada públicamente también.
Microsoft reitera que la falla afecta a todas las versiones de Windows y que no es necesario utilizar el módem para explotarla.
"Todas las versiones compatibles de Windows pueden verse afectadas por una explotación exitosa de esta vulnerabilidad, incluso si el módem no se está utilizando activamente", explica Microsoft.
Esta CVE no se atribuye a ningún investigador.
CVE-2025-2884 - Cert CC: Vulnerabilidad de lectura fuera de límites en la implementación de referencia TCG TPM2.0
Microsoft ha corregido una falla en TCG TPM 2.0 que podría provocar la divulgación de información o la denegación de servicio del TPM.
"CVE-2025-2884 se refiere a una vulnerabilidad en la función auxiliar CryptHmacSign de la implementación de referencia CG TPM2.0, vulnerable a lectura fuera de límites debido a la falta de validación del esquema de firma con el algoritmo de la clave de firma", explica Microsoft.
CERT/CC creó esta CVE en su nombre. Las actualizaciones de Windows documentadas incorporan actualizaciones en la implementación de referencia de CG TPM2.0 que solucionan esta vulnerabilidad.
La falla se ha atribuido al Trusted Computing Group (TCG) y a un investigador anónimo. TCG divulgó públicamente la falla.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en octubre de 2025 incluyen:
Adobe publicó actualizaciones de seguridad para varios productos.
Cisco publicó parches para Cisco IOS, Cisco Unified Communications Manager y Cyber Vision Center.
Draytek publicó una actualización de seguridad para una falla de RCE previa a la autorización en varios modelos de routers Vigor.
Gladinet advierte a los clientes sobre un día cero de CentreStack que se explotó activamente para vulnerar servidores.
Ivanti publicó actualizaciones de seguridad para Ivanti Endpoint Manager Mobile (EPMM) e Ivanti Neurons para MDM. Oracle publicó actualizaciones de seguridad para dos vulnerabilidades de día cero de E-Business Suite explotadas activamente de forma muy confusa.
Redis publicó actualizaciones de seguridad para corregir una vulnerabilidad RCE de máxima gravedad.
SAP publicó las actualizaciones de seguridad de octubre para varios productos, incluyendo una corrección para una falla de ejecución de comandos de máxima gravedad en Netweaver.
Synacor publicó una actualización de seguridad para una vulnerabilidad de día cero de Zimbra Collaboration Suite explotada para robar datos.
Actualizaciones de seguridad del martes de parches de octubre de 2025
A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de octubre de 2025.
Para acceder a la descripción completa de cada vulnerabilidad y los sistemas que afecta, puede consultar el informe completo aquí:
https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-October-2025.html
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/