Microsoft Hoy ha publicado actualizaciones para corregir al menos 137 vulnerabilidades de seguridad en su Ventana sistemas operativos y software compatible. Se sabe que ninguna de las debilidades abordadas este mes es explotada activamente, pero 14 de los defectos han ganado la nota más “crítica” de Microsoft, lo que significa que podrían usarse para tomar el control de la PC de Windows vulnerable con poca o ninguna ayuda para el usuario.
Aunque no figura como una crítica, CVE-2025-49719 es una vulnerabilidad de información revelada públicamente, con todas las versiones en cuanto a SQL Server 2016 recibiendo soluciones. Microsoft tasa CVE-2025-49719 como menos probable que sea explotada, pero la disponibilidad del código conceptual de prueba de este defecto significa que su correctivo probablemente debería ser una prioridad para las empresas afectadas.
Mike Walterscofundador de Acción1Dicho CVE-2025-49719 se puede usar sin autenticación, y muchas aplicaciones de terceros dependen del servidor SQL y los controladores afectados introducen potencialmente un riesgo de cadena de suministro que se extiende más allá de los usuarios directos de SQL Server.
“La exposición potencial de la información confidencial hace una gran preocupación prioritaria para las organizaciones que administran datos preciosos o regulados”, dijo Walters. “La naturaleza completa de las versiones afectadas, que cubre varias versiones de SQL Server de 2016 a 2022”, dice un problema fundamental en la forma en que SQL Server administra la gestión de la memoria y la validación de las entradas. “
Adam Barnett tiene Rapid7 Tenga en cuenta que hoy es el final del camino a SQL Server 2012Esto significa que no habrá correcciones de seguridad futuras incluso para vulnerabilidades críticas, incluso si está listo para pagar a Microsoft por privilegios.
Barnett también llamó la atención sobre CVE-2025-47981Vulnerabilidad con una puntuación CVSS de 9.8 (10 siendo la peor), un error de ejecución de código distante en la forma en que los servidores y los clientes de Windows están negociando para descubrir mecanismos de autenticación de apoyo mutuo. Esta vulnerabilidad previa a la autorización afecta a cualquier máquina de clientes de Windows en progreso Windows 10 1607 o arriba, y todas las versiones actuales de Servidor de Windows. Microsoft considera que es más probable que los atacantes exploten este defecto.
Microsoft también ha corregido al menos cuatro defectos críticos de ejecución de código remoto en Escritorio (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49702). Microsoft evalúa a los dos primeros como una probabilidad operativa más alta, no requiere la interacción del usuario y puede activarse a través del panel de vista previa.
Otros dos errores de alto severidad incluyen CVE-2025-49740 (CVSS 8.8) y CVE-2025-47178 (CVSS 8.0); El primero es una debilidad que podría permitir que los archivos maliciosos elijan la detección de Microsoft Defensor SmartScreenUna función de Windows integrada que intenta bloquear descargas poco confiables y sitios maliciosos.
CVE-2025-47178 implica un defecto en la ejecución del código remoto en Microsoft Configuration ManagerUna herramienta corporativa para administrar, implementar y asegurar computadoras, servidores y dispositivos en una red. Ben Hopkins tiene Laboratorios inmersivos Dicho este error requiere que se utilicen privilegios muy bajos, y que es posible que un usuario o atacante con un papel de acceso a la lectura solo lo explote.
“La explotación de esta vulnerabilidad permite que un atacante ejecute solicitudes SQL arbitrarias como una cuenta de SMS privilegiada en Microsoft Configuration Manager”, dijo Hopkins. “Este acceso se puede utilizar para manipular implementaciones, impulsar malware o scripts a todos los dispositivos administrados, modificar configuraciones, robar datos confidenciales y potencialmente degenerar en plena ejecución del código del sistema operativo en la empresa, lo que le da al atacante un gran control sobre todo el entorno de la computadora”.
Por separado, Adobe tiene Actualizaciones de seguridad publicadas Para una amplia gama de software, incluido Después de los efectos, Audiencia de adobe, Ilustrador, MarcadoY Infusión fría.
EL Sin Internet Stormy Center tiene Una ventilación de cada parche individualindexado por la gravedad. Si usted es responsable de la administración de varios sistemas de Windows, puede ser útil vigilar Pedir madera Para la parte inferior de todas las actualizaciones potencialmente bancarias (dada la gran cantidad de vulnerabilidades y componentes de Windows abordados este mes).
Si es un usuario de Windows Home, considere guardar sus datos y / o lectores antes de instalar correcciones y poner una nota en los comentarios si encuentra problemas con estas actualizaciones.