Microsoft Hoy ha publicado más de 50 actualizaciones de seguridad para sus diversas Ventana sistemas operativos, incluidas las soluciones para un enorme Cero vulnerabilidades de seis días que ya ve una explotación activa.
Dos de las fallas de cero día incluyen CVE-2025-24991 Y CVE-2025-24993Ambas vulnerabilidades en NTFSEl sistema de archivos predeterminado para Windows y Windows Server. Ambos requieren que el atacante engañe a un objetivo en la asamblea de un disco duro virtual malicioso. El CVE-2025-24993 conduciría a la posibilidad de ejecución del código local, mientras que CVE-2025-24991 podría conducir a la divulgación de las partes de la memoria.
Microsoft atribuye a los investigadores Eset con informar el error de día cero etiquetado CVE-2025-24983Una elevación de la vulnerabilidad de los privilegios en versiones antiguas de Windows. Eset dijo que la hazaña había sido desplegada a través del Puerta trasera pipemagicCapaz de exfiltración de datos y activación del acceso remoto a la máquina.
Eset Despegar Jurčacko Dijo que la hazaña en Wild se dirige solo a las versiones antiguas del sistema operativo Windows: Windows 8.1 y Server 2012 R2. Aunque todavía utilizado por millones, el soporte para la seguridad de estos productos terminó hace más de un año y el apoyo al consumidor terminó hace años. Sin embargo, ESET señala que la vulnerabilidad en sí también está presente en nuevas versiones del sistema operativo Windows, especialmente Windows 10 Build 1809 Y todavía lo apoyó Windows Server 2016.
El principal ingeniero de software de Rapid7 Adam Barnett dicho Windows 11 Y Servidor 2019 Al frente, no figuran como correcciones de recepción, por lo que probablemente no sean vulnerables.
“No está claro por qué los nuevos productos de Windows han esquivado esta pelota en particular”, escribió Barnett. “El subsistema de Windows 32 siempre es muy bueno, porque no hay una mención aparente de su desaparición en la lista del sistema operativo del cliente de Windows”.
El defecto de día cero CVE-2025-24984 Se puede usar otra debilidad de NTFS insertando un reproductor USB malicioso en una computadora de Windows. Barnett dijo que el consejo de Microsoft para este error no alcanza los puntos, pero que la explotación exitosa parece significar que partes de la memoria TAS podrían transferirse mal a un archivo de periódico, que luego podría ser peinado por un atacante de información hambrienta.
“Una puntuación básica básica de CVSSV3 de 4.6 refleja las dificultades prácticas en la explotación del mundo real, pero un atacante motivado a veces puede obtener resultados extraordinarios de las uñas más pequeñas, y Microsoft evalúa esta vulnerabilidad como importante en su propia escala de gravedad de la propiedad”, dijo Barnett.
Otro día cero set este mes – CVE-2025-24985 – Podría permitir que los atacantes instalaran malware. Al igual que con los errores NTFS, requiere que el usuario se ponga un disco duro virtual malicioso.
El último día cero este mes es CVE-2025-26633una debilidad en el Consola de administración de MicrosoftUn componente de Windows que brinda a los administradores del sistema una forma de configurar y monitorear el sistema. Use este defecto requiere que el objetivo abra un archivo malicioso.
El paquete Redmond Patch Luve también aborda otras seis vulnerabilidades que Microsoft ha evaluado “crítico”, lo que significa que el software malicioso o el malicion podrían explotarlos para tomar el control de las PC vulnerables sin ayuda del usuario.
Barnett observó que ahora es el sexto mes consecutivo cuando Microsoft publicó vulnerabilidades de día cero en Patch el martes sin evaluar ninguna gravedad crítica en el momento de la publicación.
EL Sin Internet Stormy Center A una lista útil de toda la corrección de Microsoft publicada hoy, indexada por Gravity. Los administradores de Windows Enterprise harían bien en vigilar Askwoody.comLo que a menudo tiene la cuchilla de todas las soluciones que causan problemas. Considere guardar sus datos antes de actualizar y dejar un comentario a continuación si encuentra problemas que aplican actualizaciones a este mes.