Microsoft Hoy, ha publicado actualizaciones de seguridad para corregir al menos 56 vulnerabilidades en sus sistemas operativos de Windows y software compatible, incluidos dos defectos de cero días que se explotan activamente.
Todos los sistemas operativos de Windows compatibles recibirán una actualización este mes para una vulnerabilidad del desbordamiento del búfer que lleva el nombre pegadizo CVE-2025-21418. Este correctivo debe ser una prioridad para las empresas, porque Microsoft dice que es explotado, tiene una baja complejidad de ataque y no hay requisitos para la interacción del usuario.
Defendible Ingeniero de Investigación Superior Satnam narang Tenga en cuenta que desde 2022, ha habido nueve privilegios vulnerabilidades en este mismo componente de Windows, tres cada año, incluido uno en 2024 que fue explotado en la naturaleza como un día cero (CVE -2024-38193).
“El CVE-2024-38193 fue operado por el grupo norcoreano APT conocido como el Grupo Lazare para establecer una nueva versión del Fudmodule RootKit para mantener la persistencia y el sigilo de los sistemas de compromiso”, dijo Narang. “Actualmente, no está claro si el grupo de Lazare también operaba el CVE-2025-21418”.
El otro día cero, CVE-2025-21391es un aumento en la vulnerabilidad de los privilegios en el almacenamiento de Windows que podría usarse para eliminar archivos en un sistema dirigido. El consejo de Microsoft sobre este error se refiere a algo llamado “CWE-59: Enlaces deficientes antes del acceso al archivo”, dice que no se requiere interacción del usuario y que la complejidad del ataque es débil.
Adam BarnettIngeniero de software principal en Rapid7dijo que aunque la opinión proporciona pocos detalles e incluso ofrece una seguridad vaga de que “un atacante no podría eliminar los archivos dirigidos en un sistema”, sería un error suponer que el impacto de los archivos arbitrarios de la eliminación sería limitado como pérdida de datos o denegación de servicio.
“Durante mucho tiempo que en 2022, los investigadores de ZDI explicaron cómo un atacante motivado podría transformar la eliminación arbitraria de los archivos en el acceso completo al sistema utilizando técnicas que también implican el uso incorrecto de enlaces simbólicos”, dijo Barnett.
Una vulnerabilidad corregida hoy que se ha revelado públicamente anteriormente es CVE-2025-21377Otra debilidad que podría permitir a un atacante elevar sus privilegios en un sistema de Windows vulnerable. Más específicamente, este es otro defecto de Windows que se puede usar para robar los hacks de NTLMV2, lo que esencialmente permite que un atacante se autentique como un usuario objetivo sin tener que conectarse.
Según Microsoft, es necesaria la interacción mínima del usuario con un malware para operar CVE-2025-21377, incluida la selección, inspección o “ejecución de una acción que no sea la apertura o ejecución del archivo”.
“Esta escalada de marca y tejido lingüístico pueden ser la forma en que Microsoft diga decir” Si te contamos más, daríamos el juego “, dijo Barnett. “Como resultado, Microsoft evalúa la explotación como más probable”.
EL Sin Internet Stormy Center A una lista práctica de toda la corrección de Microsoft publicada hoy, indexada por Gravity. Los administradores de Windows Enterprise harían bien en vigilar Askwoody.comLo que a menudo tiene la cuchilla de todas las soluciones que causan problemas.
Se está volviendo cada vez más difícil comprar un software de Windows, que también no está entusiasmado con la inteligencia artificial (AI) de Microsoft. El mes pasado, Microsoft comenzó a agrupar el co -piloto Microsoft Office 365que Redmond ha renombrado desde entonces “Copilot Microsoft 365. “Para compensar los costos de sus importantes inversiones sobre la IA, Microsoft también ha aumentado los precios del 22% al 30% para las renovaciones futuras de licencias y los nuevos suscriptores.
Office-watch.com escribiendo Que los usuarios existentes de Office 365 que pagan una licencia anual de la nube tienen la posibilidad de “Microsoft 365 Classic”, una suscripción sin IA a un precio más bajo, pero que a muchos clientes no se les ofrece la opción antes de intentar cancelar su oficina de suscripción existente.
En otras noticias de Security Patch, Manzana envió iOS 18.3.1, que corrige un día cero Vulnerabilidad (CVE-2025-24200) que aparece en los ataques.
Adobe ha emitido actualizaciones de seguridad que corrigen un total de 45 vulnerabilidades a través de Indeseño, Comercio, 3D Sustancia Estancarse, Inútil, Ilustrador, Diseñador de sustancias 3D Y Elementos de Photoshop.
Chris Goettl tiene Ivanti tenga en cuenta que Google Chrome Envía una actualización hoy que activará las actualizaciones de los navegadores basados en Chrome, en particular Microsoft EdgeAsí que esté atento a las actualizaciones de Chrome y Edge a medida que avanza la semana.