Microsoft publicó el martes 159 parches que afectan a 13 familias de productos. Nueve de los problemas abordados son considerados por Microsoft de gravedad Crítica y 43 tienen una puntuación base CVSS de 8,0 o superior. Tres están siendo explotados activamente. Uno se puede mitigar mejor «configurando Microsoft Outlook para que lea todo el correo estándar en texto sin formato».
El botín de parches sin precedentes recae principalmente en Windows, con 132 parches aplicables al sistema operativo. Dentro de ese grupo, surgen varios temas: 28 parches de ejecución remota de código que afectan a los Servicios de Telefonía de Windows, por ejemplo, o los 17 problemas de elevación de privilegios abordados en Windows Digital Media. Ocho de los parches de Windows son de gravedad crítica, incluido el fallo de Outlook relacionado con OLE mencionado anteriormente. Examinaremos más detenidamente esta situación más adelante.
En el momento de aplicar el parche, se sabe que tres problemas EoP de gravedad importante, todos ellos titulados «Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability» (Vulnerabilidad de Elevación de Privilegios VSP en la Integración del Núcleo NT de Windows Hyper-V), están siendo explotados activamente y según las estimaciones de la empresa, es más probable que otros 17 CVE sean explotados en los próximos 30 días. Dos de los problemas de este mes son susceptibles de ser detectados por las protecciones de Sophos e incluimos información sobre ellos en una tabla más abajo.
Además de estos parches, la publicación incluye un aviso sobre las actualizaciones de la pila de servicios, así como información sobre el único parche del mes para Edge (también hay un parche para Internet Explorer, como veremos más adelante) y dos problemas cubiertos en la publicación pero ya mitigados por Microsoft.
-
CVE totales: 159
-
Divulgados públicamente: 3
-
Problema detectado: 3
-
Gravedad
-
Crítica: 9
-
Importante: 150
-
-
Impacto
-
Ejecución remota de código: 58
-
Elevación de privilegios: 40
-
Divulgación de información: 22
-
Denegación de servicio: 20
-
Anulación de funciones de seguridad: 14
-
Suplantación de identidad: 5
-
-
Puntuación base CVSS 9.0 o superior: 3
-
Puntuación base CVSS 8,0 o superior: 40

Productos
-
Windows 132
-
365: 13
-
Office 13
-
Visual Studio: 7
-
.NET 4
-
Access 3
-
SharePoint: 3
-
Office para Mac: 2
-
AutoUpdate para Mac: 1
-
Excel: 1
-
Outlook 1
-
Pasarela de datos local: 1
-
Power Automate: 1
Como es nuestra costumbre para esta lista, los CVE que se aplican a más de una familia de productos se cuentan una vez por cada familia a la que afectan.

Actualizaciones notables de enero
Además de los problemas comentados anteriormente, hay una serie de elementos específicos que merecen atención.
CVE-2025-21298 – Vulnerabilidad de ejecución remota de código OLE de Windows
Con una puntuación base CVSS de 9,8, este problema de gravedad crítica ya llama la atención, pero es incluso más emocionante que eso. Se trata de un problema RTF (Formato de Texto Enriquecido), por lo que, aunque debe corregirse en Windows, se aplica a varios productos, en particular al correo electrónico. Dado que el fallo puede activarse en el Panel de Vista Previa, un atacante que despliegue esta vulnerabilidad no tendría que hacer nada más que enviar un correo electrónico malicioso al objetivo; aunque el usuario no haga clic en nada, basta con que lo vea para activar el RCE. Afortunadamente, todavía no se cree que esté bajo explotación activa en la naturaleza (los descubridores trabajaron con The Zero-Day Initiative para llamar la atención de Microsoft), pero es razonable suponer que el tiempo corre en su contra. Como ya se ha indicado, la empresa recomienda a los usuarios que sigan leyendo su correo electrónico en texto sin formato, y da las instrucciones para configurar las máquinas individuales para que lo hagan en Outlook. Los usuarios de otros programas de correo electrónico querrán tomar nota y actuar en consecuencia.
CVE-2025-21311 – Vulnerabilidad de elevación de privilegios de Windows NTLM V1
Otro 9,8 en la escala de CVSS, se aplica a las versiones más recientes de Microsoft (Windows 11 24H2, Server 2022 23H2, Server 2025) y es relativamente fácil de mitigar configurando LmCompatibilityLevel a su valor máximo de 5, con lo que se inhabilita el uso del protocolo MTLMv1. Esto es bueno, porque la vulnerabilidad es explotable remotamente, no requiere ningún conocimiento particular del sistema objetivo y tiene un alto porcentaje de éxito.
CVE-2025-21366, CVE-2025-21395, CVE-2025-21186 – todos Vulnerabilidad de ejecución remota de código de Microsoft Access
Siguiendo con el tema de este mes de «cambios en la funcionalidad del correo electrónico que pondrán de mal humor a los usuarios finales», los parches para estos CVE bloquean siete extensiones potencialmente maliciosas (.accda, .accdb, .accde, .accdr, accdt, .accdu, .accdw) para que no se envíen por correo electrónico. Microsoft afirma que el destinatario recibirá una notificación de que había un archivo adjunto, pero que no se puede acceder a él. Los tres problemas son RCE dirigidos a RDP, y los tres son ya conocidos públicamente.
CVE-2025-21280, CVE-2025-21284, CVE-2025-21299, CVE-2025-21321, CVE-2025-21331, CVE-2025-21336, CVE-2025-21340, CVE-2025-21370 – varios títulos
Ocho de los parches de este mes afectan a componentes del Modo Seguro Virtual, lo que significa que los administradores deben seguir las directrices de Microsoft para actualizar los problemas de seguridad basados en la virtualización (VBS).
CVE-2025-21343 – Vulnerabilidad de divulgación de información del servicio de usuario de Windows Web Threat Defense
Problema de divulgación de información de gravedad importante, esta rareza puede, si se explota, permitir al atacante realizar capturas de pantalla de la sesión de otro usuario. Asimismo, tiene un alcance bastante específico, ya que solo afecta a Windows 11 22H2, 23H2 y 24H2. Fue enviado a Microsoft por un descubridor poco común, la Dirección de Señales Australiana.
CVE-2025-21326 – Vulnerabilidad de ejecución remota de código en Internet Explorer
Con un nombre así parecen los viejos tiempos, pero este RCE de gravedad importante no afecta al navegador de antaño, sino a Windows Server 2022 23H2 y Windows Server 2025.

Protecciones de Sophos
CVE Sophos Intercept X/Endpoint IPS Sophos XGS Firewall
CVE-2025-21299 Exp/2521299-A Exp/2521299-A
CVE-2025-21362 sid:2310479 sid:2310479
Como todos los meses, si no quieres esperar a que tu sistema descargue por sí mismo las actualizaciones de Microsoft, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para determinar qué compilación de Windows 10 u 11 estás ejecutando y, a continuación, descarga el paquete de actualizaciones acumulativas para la arquitectura y el número de compilación específicos de tu sistema.