Microsoft Hoy ha publicado actualizaciones para conectar al menos 121 agujeros de seguridad en su Ventana Sistemas operativos y software, incluida la vulnerabilidad que ya está explotada en la naturaleza. Once de estas fallas han ganado la notación “crítica” más desgarradora de Microsoft, lo que significa que el malware o los malcosteos podrían explotarlos con poca o ninguna interacción de los usuarios de Windows.
Defecto de día cero que ya ve la explotación es CVE-2025-29824Una elevación local de un error de privilegio en Windows Sistema de archivos de periódicos comunes (CLFS) Conductor. Microsoft lo considera “importante”, pero como Chris Goettl Desde Ivanti Haga hincapié en que la priorización basada en el riesgo justifica el tratamiento como crítica.
Este componente de Windows CLFS no es ajeno al parche el martes: según Tenable Satnam narangDesde 2022, Microsoft ha corregido 32 vulnerabilidades de CLFS, en promedio 10 por año, incluidas seis explotadas en la naturaleza. EL Último CLFS cero-día fue corregido en diciembre de 2024.
Narang señala que aunque las fallas que permiten a los atacantes instalar código arbitrario son características globales de parche global de alto nivel, los datos se invierten para la explotación de cero días.
“En los últimos dos años, una elevación de defectos de privilegios ha liderado la manada y, hasta ahora, en 2025, representa más de la mitad de todos los días cero explotados”, escribió Narang.
Rapid7 Adam Barnett advierte que todos los defensores de Windows responsables de un Servidor LDAP – lo que significa que casi todas las organizaciones con una impronta de Microsoft no trivial deben agregar radiación Para el defecto crítico CVE-2025-26663 a su lista de tareas.
“Sin un privilegio requerido, sin necesidad de interacción del usuario y la ejecución del código probablemente en el contexto del servidor LDAP en sí, la explotación exitosa sería un atajo atractivo para cualquier atacante”, dijo Barnett. “Quien se pregunta si hoy es un nuevo diciembre de 2024 Parche Martes puede disfrutar un poco de consuelo en el hecho de que lo peor Trio de LDAP Critic RCE publicados a fines del año pasado Probablemente fue más fácil de explotar que el ejemplo de hoy, porque el CVE-2025-26663 de hoy requiere un atacante para ganar una condición de carrera. A pesar de esto, Microsoft siempre espera que la operación sea más probable. »»
Entre las actualizaciones críticas que Microsoft corregió este mes se encuentran defectos en la ejecución del código remoto en Escritorio remoto de Windows Servicios (RDP), incluido CVE-2025-26671, CVE-2025-27480 Y CVE-2025-27482; Solo los dos últimos son evaluados “críticas” y Microsoft los marcó como “explotación más probable”.
Quizás las vulnerabilidades más comunes establecidas este mes quizás estuvieran en navegadores web. Google Chrome actualizado Para corregir 13 fallas esta semana y Mozilla Firefox fijado Ocho erroresquizás con más actualizaciones a finales de esta semana para Microsoft Borde.
Como tiende a hacer los martes del parche, Adobe tiene Publicado 12 actualizaciones Resolución de 54 agujeros de seguridad en una gama de productos, en particular Infusión fría, Adobe Commerce, Gerente de experiencia, Después de los efectos, Medios de comunicación, Puente, Primer Pro, Photoshop, Animar, Pantallas AEMY Marcado.
Manzana Los usuarios también pueden necesitar Patcher. El 31 de marzo, Apple publicó una gran actualización de seguridad (más de tres gigabytes) para resolver problemas en una variedad de sus productos, especialmente Al menos un defecto de día cero.
Y en caso de que te lo hayas perdido el 31 de marzo de 2025 Manzana liberado Un lote bastante grande de actualizaciones de seguridad para una amplia gama de sus productos, macosa En iOS sistemas operativos en iPhones Y ipad.
Más temprano en el día, Microsoft incluyó una nota que decía Windows 10 Las actualizaciones de seguridad no estaban disponibles, pero se publicarían lo antes posible. Aparece la navegación Askwoody.com que este SNAFU ha sido rectificado desde entonces. De todos modos, si encuentra complicaciones aplicando una de estas actualizaciones, deje una nota sobre esto en los comentarios a continuación, porque las posibilidades son buenas de que alguien más tenga el mismo problema.
Como siempre, considere guardar sus datos y / o dispositivos antes de actualizarse, lo que hace que sea mucho menos complicado deshacer una actualización de software que ha estado mal. Para obtener más detalles granulares sobre el parche de hoy el martes, ver el Roundup de Internet Storm Center. Guía de actualización de Microsoft para abril de 2025 esta aquí.
Para obtener más detalles sobre el parche el martes, consulte los artículos de Acción1 Y Automox.