Microsoft Hoy ha publicado actualizaciones de seguridad para corregir al menos 67 vulnerabilidades en su Ventana sistemas operativos y software. Redmond advierte que uno de los defectos ya está bajo un ataque activo, y que los planes de software que muestran cómo explotar un error de Windows omnipresente este mes ahora son públicos.
El único defecto cero este mes es CVE-2025-33053un valor predeterminado de la ejecución de código distante en la implementación de Windows de Webdav – Una extensión HTTP que permite a los usuarios administrar de forma remota archivos y directorios en un servidor. Aunque WebDav no se activa de forma predeterminada en Windows, su presencia en la herencia o los sistemas especializados de hecho siempre es un objetivo relevante, dijo Seth HoytIngeniero de Seguridad Senior en Automox.
Adam BarnettIngeniero de software principal en Rapid7Dicho la opinión de Microsoft para CVE-2025-33053, no menciona que la implementación de Windows de WebDAV se ha incluido como no se recomienda desde noviembre de 2023, lo que significa en términos prácticos que el servicio WebClient no se inicia de manera predeterminada.
“La opinión también tiene una complejidad de ataque tan baja, lo que significa que la explotación no requiere la preparación del entorno objetivo de una manera que va más allá del control del atacante”, dijo Barnett. “La explotación se basa en el usuario haciendo clic en un enlace malicioso. No está claro cómo un activo sería inmediatamente vulnerable si el servicio no funciona, pero todas las versiones de Windows reciben una solución, incluidas las publicadas desde la depreciación de WebClient, como Server 2025 y Windows 11 24h2”.
Microsoft advierte que una vulnerabilidad “elevación de privilegios” en el Bloque de mensajes de servidor de Windows (SMB) Cliente (CVE-2025-33073) es probable que se explote, ya que el código de concepto para este error ahora es público. El CVE-2025-33073 tiene una puntuación de riesgo CVSS de 8.8 (de 10), y la explotación de la falla lleva al atacante a obtener un control de nivel de “sistema” en una PC vulnerable.
“Lo que lo hace particularmente peligroso es que no se requiere otra interacción del usuario después de la conexión inicial, algo que los atacantes a menudo pueden desencadenar sin que el usuario se dé cuenta”, dijo “, dijo Alex Vovkcofundador y CEO de Acción1. “Dado el nivel de alto privilegio y la facilidad de explotación, este defecto tiene un riesgo significativo para los entornos de Windows. El alcance de los sistemas afectados es vasto, porque SMB es un protocolo básico de Windows utilizado para compartir archivos e impresora e interprocesos”.
Más allá de estos hechos sobresalientes, 10 de las vulnerabilidades fijadas este mes fueron evaluadas “críticas” por Microsoft, incluidos ocho defectos en la ejecución de código distante.
En particular, ausente del lote de parche de este mes hay una solución para una debilidad recientemente descubierta en Windows Server 2025 Esto permite a los atacantes actuar con todos los privilegios de los usuarios en Active Directory. El error, apodado “Insignificante,” era revelado públicamente por investigadores para Akamai 21 de mayo, y varias pruebas de conceptos públicos ahora están disponibles. Satnam Narang de Table ha dicho que las organizaciones que tienen al menos un controlador de dominio de Windows Server 2025 deben examinar las autorizaciones para los directores y limitar estas autorizaciones tanto como sea posible.
Adobe ha publicado actualizaciones para Lector acrobato Y otros seis productos dirigidos a al menos 259 vulnerabilidades, la mayoría de ellos en una actualización para Responsable de la experiencia. Mozilla Firefox Y Google Chrome Las dos actualizaciones de seguridad publicadas recientemente que requieren un reinicio del navegador para entrar en vigencia. La última actualización de Chrome corrige dos exploits de día cero en el navegador (CVE-2025-5419 y CVE-2025-4664).
Para una ventilación detallada sobre actualizaciones de seguridad individuales publicadas por Microsoft hoy, consulte el Martes Patch Raw-Up de Sin Internet Stormy Center. Acción 1 A Una ventilación de las correcciones de Microsoft Y una serie de otros proveedores de software que publican correcciones este mes. Como siempre, guarde su sistema y / o sus datos antes de Patcher y no dude en abandonar una nota en los comentarios si encuentra problemas para aplicar estas actualizaciones.