11
En octubre de 2025, Microsoft lanzó una importante actualización conocida como Patch Tuesday. Este paquete abarca 175 vulnerabilidades diferentes, algunas de alta gravedad. Estas actualizaciones son cruciales, ya que abordan problemas críticos y fallos de día cero. Además, representan las últimas actualizaciones programadas para la mayoría de los dispositivos con Windows 10 debido a su final de soporte.
Más de 3 vulnerabilidades de día cero y 16 correcciones críticas
Microsoft ha abordado tres vulnerabilidades de día cero. Dos de ellas fueron divulgadas públicamente y una fue explotada antes de que se lanzara un parche. Cada una de estas vulnerabilidades tiene un puntaje CVSS de 7.8, lo que indica una severidad considerable. A continuación, un resumen de estas vulnerabilidades críticas.
- CVE-2025-24990: Esta vulnerabilidad en el controlador de módem Agere permite la escalada de privilegios. Está presente de forma nativa en el sistema operativo. Un atacante podía obtener privilegios de administrador sin necesidad de usar el módem. Microsoft confirmó que detectó explotación activa de este problema. Para solucionarlo, eliminaron el controlador ltmdm64.sys en la actualización de octubre.
- CVE-2025-24052: Otra falla similar en el controlador de módem Agere permitió la escalada de privilegios. Aunque no se detectó explotación activa, la divulgación previa al arreglo hizo que fuera potencialmente explotable.
- CVE-2025-59230: Esta vulnerabilidad afecta al Administrador de Conexiones de Acceso Remoto de Windows. Permitía a un atacante autenticado obtener privilegios de SYSTEM. Microsoft también confirmó que se estaba explotando activamente en el entorno.
Actualizaciones para vulnerabilidades de terceros en el paquete de octubre
Además de las vulnerabilidades anteriores, el paquete incluye parches para tres problemas de día cero en servicios de terceros. Uno de estos fallos, CVE-2025-47827 (CVSS 4.6; severidad importante), es un bypass de Secure Boot en IGEL OS, el cual fue atacado previamente a la llegada de un parche.
Los otros dos problemas, CVE-2025-0033 (CVSS 8.2; crítico) y CVE-2025-2884 (CVSS 5.3; importante), se hicieron conocidos antes de que se pudiera lanzar una solución. Microsoft no detectó explotación activa de estos fallos.
Más de 150 vulnerabilidades de alta severidad también resueltas
Aparte de las vulnerabilidades de día cero, este paquete soluciona 15 vulnerabilidades críticas en diversos productos. También se abordaron 157 problemas de severidad importante y un solo problema de severidad moderada. Esto incluye 83 vulnerabilidades de escalada de privilegios y 30 fallos de ejecución de código remoto.
Cierre de soporte para Windows 10
La actualización de este mes marca el fin del soporte para usuarios de Windows 10. Solo los usuarios de Windows 10 Enterprise LTSC/IoT LTSC recibirán actualizaciones de seguridad en adelante. Microsoft anima a los usuarios a actualizar a Windows 11. Aquellos que no puedan actualizar de inmediato recibirán un año de actualizaciones de seguridad gratuitas al inscribirse en los Planes ESU.
Comparte tus opiniones en los comentarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
