Microsoft anunció el martes 170 parches que afectan a 21 familias de productos. Ocho de los problemas abordados son considerados por Microsoft como de gravedad crítica y 18 tienen una puntuación base CVSS de 8,0 o superior. Se sabe que tres están siendo explotados activamente en la red y otros dos han sido revelados públicamente.
En el momento de la aplicación del parche, la empresa estima que 12 CVE tienen más probabilidades de ser explotados en los próximos 30 días, además de los dos que ya se han detectado. Varios de los problemas de este mes pueden detectarse directamente con las protecciones de Sophos. En la tabla que se encuentra al final de este artículo se incluye información al respecto.
Además del número récord de parches (que supera el total de 159 establecido en enero), este mes hay un conjunto considerable de elementos que solo requieren asesoramiento. En cuanto a Edge, la semana pasada se publicaron 14 parches para Chrome que afectan al navegador de Microsoft. MITRE ha presentado dos CVE más, incluido uno (MITRE CVE-2025-54957: desbordamiento de enteros en el decodificador de audio Dolby Digital Plus) que se sabe que está siendo explotado. El error del editor del motor de juegos Unity que ha trastornado a los jugadores de todo el mundo (CVE-2025-59489) afecta a 30 juegos de Microsoft, aunque no a las consolas Xbox, Xbox Cloud Gaming, iOS ni HoloLens.
Continuando con la lista de avisos, un error reportado por Github en Mermaid Diagram Tool que afecta a Visual Studio (CVE-2025-54132) podría ser activado por un atacante malicioso o por una alucinación de la IA. Por último, se ha anunciado que ya se han corregido ocho CVE que afectan a Azure, Entra o varias versiones de Copilot, todos ellos problemas de gravedad crítica relacionados con la elevación de privilegios o la suplantación de identidad, aunque se ha facilitado poca información al respecto.
En cifras
-
Total de CVE: 170
-
Divulgados públicamente: 2
-
Explotaciones detectadas: 3
-
Gravedad
-
Crítica: 8
-
Importante: 161
-
Moderada: 1
-
-
Impacto
-
Denegación de servicio: 11
-
Elevación de privilegios: 79
-
Divulgación de información: 26
-
Ejecución remota de código: 31
-
Omisión de características de seguridad: 11
-
Suplantación de identidad: 11
-
Manipulación: 1
-
-
Puntuación base CVSS de 9,0 o superior: 3
-
Puntuación base CVSS de 8,0 o superior: 15
Productos
-
Windows: 132
-
365: 16
-
Office: 16
-
Excel: 7
-
Azure: 6
-
SharePoint: 6
-
Exchange: 3
-
Configuration Manager: 2
-
.NET: 2
-
Word: 2
-
Access: 1
-
ASP.NET: 1
-
Defender para Linux: 1
-
Dynamics 365: 1
-
microsoft/playwright: 1
-
PowerPoint: 1
-
PowerShell: 1
-
SQL: 1
-
Visio: 1
-
Visual Studio: 1
-
Sistema de juegos Xbox: 1
Como es habitual en esta lista, las CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan. Cabe señalar, por cierto, que los nombres de las CVE no siempre reflejan con exactitud las familias de productos afectadas. En concreto, algunos nombres de CVE de la familia Office pueden mencionar productos que no aparecen en la lista de productos afectados por la CVE, y viceversa.
Actualizaciones destacadas de octubre
Además de los problemas mencionados anteriormente, hay una serie de aspectos específicos que merecen atención.
CVE-2025-24052: vulnerabilidad de elevación de privilegios del controlador del módem Agere de Windows.
CVE-2025-24990: vulnerabilidad de elevación de privilegios del controlador del módem Agere de Windows.
CVE-2025-47979: vulnerabilidad de divulgación de información del clúster de conmutación por error de Microsoft.
CVE-2025-53717: vulnerabilidad de elevación de privilegios en el enclave de seguridad basado en virtualización (VBS) de Windows
Estos cuatro problemas de gravedad importante requieren un esfuerzo adicional por parte de los administradores, y recompensan (?) a quienes mantienen sus sistemas actualizados año tras año. Los dos problemas relacionados con los controladores de módem —uno ya está siendo explotado activamente y el otro se ha revelado públicamente— solo afectan al controlador específico Agere Modem (ltmdm64.sys), que se incluye de forma nativa en Windows, pero el problema en sí mismo puede explotarse a través de esta vulnerabilidad, incluso si tus sistemas no utilizan ese controlador de módem software en absoluto. Microsoft va a eliminar ese controlador de todas las versiones de Windows a partir de las actualizaciones de este mes, poniendo así un final discreto y extraño a una tecnología que era puntera (y que incluso fue objeto de una sonada demanda por infracción de patente) hace una generación. Mientras tanto, las instrucciones de Microsoft sobre el problema del clúster de conmutación por error indican que puede que no sea suficiente con aplicar el parche; por si acaso queda información confidencial residual en los registros del sistema, la empresa aconseja a los administradores que cambien sus contraseñas. Por último, la aplicación del parche para el problema VBS requirió cambios en varios componentes del modo seguro virtual; si ya implementaste la política correspondiente hace varios meses, Microsoft ofrece instrucciones para volver a implementarla utilizando la nueva política.
CVE-2025-55340: omisión de la función de seguridad del protocolo de escritorio remoto de Windows
CVE-2025-59294: vulnerabilidad de divulgación de información de la vista previa en vivo de la barra de tareas de Windows
En un mes en el que el volumen de parches es casi abrumador, puede resultar refrescante examinar cuestiones que requieren una gran ingenuidad para encontrarlas, replicarlas y parchearlas. El error RDP de gravedad importante podría haber sido mucho peor, si no fuera por las acrobacias necesarias para activarlo: 1) el atacante debe tener acceso al equipo de un usuario; 2) el usuario debe iniciar una sesión RDP, y 3) el ataque debe llevarse a cabo en un plazo determinado desde el inicio de la sesión RDP. Por otra parte, en CVE-2025-39294, para explotar el error de gravedad importante de la barra de tareas en vivo, el atacante tendría que 1) acceder físicamente a un equipo después de que su usuario 2) hubiera pasado el cursor por encima de una vista previa de la barra de tareas y, a continuación, 3) hubiera bloqueado inmediatamente la pantalla o puesto el dispositivo en modo de suspensión. No es un error que pueda ser objeto de un abuso generalizado, y su puntuación CVSS Base de 2,1 (!) así lo refleja, pero es fascinante pensar que fue descubierto, recreado por los descubridores y de nuevo en las instalaciones de pruebas de Microsoft, y finalmente corregido.
CVE-2025-53139 — Vulnerabilidad de omisión de la función de seguridad de Windows Hello
No hay mucha información disponible sobre este problema de gravedad importante relacionado con la omisión de la función de seguridad en la herramienta de autenticación biométrica de Microsoft, pero la nota que indica que el problema implica la «transmisión de información confidencial en texto claro» por parte de la herramienta es suficiente para inspirar la aplicación de parches prioritarios… y quizás una nueva apreciación de las opciones de autenticación «algo que sabes».
CVE-2025-58726: vulnerabilidad de elevación de privilegios en el servidor SMB de Windows
Si recibir más de catorce docenas de parches en octubre te hace sentir más engañado que agraciado, ¿quizás te apetezca una historia de fantasmas de Halloween? Este problema de elevación de privilegios de gravedad importante en el servidor SMB requiere que un SPN (nombre principal de servicio) registrado en una cuenta que ya no existe o que no se utiliza esté disponible en el equipo de destino. Es aún más espeluznante cuando recordamos que los SPN se utilizan, por supuesto, en la autenticación Kerberos… Kerberos, llamado así por el canino guardián de tres cabezas del inframundo. Y por si eso no te parece lo suficientemente aterrador, tres de los otros parches de este mes (CVE-2025-58379, CVE-2025-59208, CVE-2025-59295) invocan a Internet Explorer, sin duda uno de los poltergeists más persistentes de Microsoft. ¡Buuu!
Protecciones de Sophos
| CVE | Sophos Intercept X/Endpoint IPS | Sophos XGS Firewall |
| CVE-2025-24052 | Exp/2524052-A | Exp/2524052-A |
| CVE-2025-55680 | Exp/2555680-A | Exp/2555680-A |
| CVE-2025-55681 | Exp/2555681-A | Exp/2555681-A |
| CVE-2025-55692 | Exp/2555692-A | Exp/2555692-A |
| CVE-2025-55693 | Exp/2555693-A | Exp/2555693-A |
| CVE-2025-55694 | Exp/2555694-A | Exp/2555694-A |
| CVE-2025-58722 | Exp/2558722-A | Exp/2558722-A |
| CVE-2025-59194 | Exp/2559194-A | Exp/2559194-A |
| CVE-2025-59199 | Exp/2559199-A | Exp/2559199-A |
| CVE-2025-59230 | Exp/2559230-A | Exp/2559230-A |
| CVE-2025-59287 | SID:2311778,2311779 | SID:2311778,2311779 |
Como cada mes, si no quieres esperar a que tu sistema descargue las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué versión de Windows estás ejecutando y, a continuación, descarga el paquete de actualización acumulativa para la arquitectura y el número de compilación específicos de tu sistema.
