- Microsoft ha publicado parches para 66 vulnerabilidades en junio de 2025, incluyendo dos zero-days: uno explotado activamente y otro revelado públicamente.
- Diez vulnerabilidades críticas han sido corregidas, la mayoría relacionadas con ejecución remota de código y elevación de privilegios.
- El zero-day más grave (CVE-2025-33053) afecta a WebDAV y fue utilizado en ataques dirigidos; requiere la interacción del usuario.
- Otros fabricantes, como Adobe y Google, también han lanzado actualizaciones de seguridad relevantes este mes.
El pasado martes 10 de junio de 2025, Microsoft lanzó su habitual parche de seguridad mensual, conocido como Patch Tuesday, corrigiendo un total de 66 vulnerabilidades. Entre ellas destacan dos zero-days especialmente relevantes: uno de ellos ya se estaba explotando de manera activa y otro había sido divulgado públicamente con anterioridad. Estas actualizaciones afectan a distintas versiones de Windows y a la suite de aplicaciones de Microsoft Office, así como a otros productos y servicios de la compañía.
La cifra total de vulnerabilidades abarca diferentes categorías, desde problemas de elevación de privilegios hasta ejecución remota de código, pasando por fallos en la divulgación de información y denegación de servicio. Según el desglose oficial, se han corregido 13 vulnerabilidades de elevación de privilegios, 25 de ejecución remota de código y 17 de filtración de información, entre otras.
Zero-days: qué se ha solucionado este mes
Uno de los fallos más significativos resueltos es el CVE-2025-33053, que afecta al sistema Web Distributed Authoring and Versioning (WebDAV) de Windows. Este punto débil fue detectado por parte de Check Point Research tras un ciberataque frustrado a una empresa de defensa en Turquía. El exploit permitía a los atacantes ejecutar código malicioso en equipos vulnerables simplemente haciendo que la víctima pinchase en una URL WebDAV especialmente manipulada, usando herramientas legítimas de Windows para sortear restricciones. Según la información oficial, Microsoft publicó el parche tras ser informado por los investigadores.
El segundo zero-day, CVE-2025-33073, afecta al cliente SMB de Windows y permite la escalada de privilegios a nivel de sistema si un usuario es engañado para conectarse a un servidor malicioso. Este problema fue divulgado públicamente antes de disponer de un parche oficial, aunque se podía mitigar activando la firma de SMB por políticas de grupo. Microsoft ha atribuido el hallazgo de esta vulnerabilidad a un equipo internacional de expertos en ciberseguridad.
Vulnerabilidades críticas y otros fallos corregidos
Además de los zero-days, la actualización de junio de 2025 ha abordado diez vulnerabilidades críticas, centradas principalmente en los siguientes productos:
- Microsoft Office (incluyendo Excel, Outlook, Word y PowerPoint): varios fallos de ejecución remota de código que podían explotarse usando el panel de vista previa para ejecutar código malicioso en el sistema.
- Microsoft SharePoint Server: errores que permitían ataques remotos autenticados.
- Windows Schannel: problema de fuga de memoria relacionado con la seguridad criptográfica.
- Remote Desktop Gateway: permitía accesos no autorizados desde red.
- Windows Netlogon y KDC Proxy Service: fallos que, aunque requerían ataques complejos, facilitaban el aumento de privilegios.
- Microsoft Power Automate: un fallo con puntuación CVSS 9.8, considerado de alto riesgo y corregido previamente este mismo mes.
Otras mejoras han afectado a Windows Installer, el protocolo DHCP, drivers del sistema y la gestión de almacenamiento. El listado completo de los parches está disponible en la web oficial de Microsoft para quienes necesiten un análisis técnico detallado de cada caso.
Actualizaciones de seguridad de otros fabricantes
Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube y SAP también han publicado recientemente parches críticos para sus productos, respondiendo a descubrimientos de seguridad similares o potencialmente explotables. Destacan las actualizaciones de Adobe para sus aplicaciones Acrobar, InDesign y Experience Manager, y las correcciones de Google para Android y Chrome, que tapan varias vulnerabilidades activamente explotadas.
El ecosistema tecnológico continúa viendo actividad constante de parches de seguridad a medida que los investigadores y empresas detectan nuevos fallos y las amenazas evolucionan. La recomendación siempre es mantener los sistemas actualizados y aplicar los parches de inmediato para evitar riesgos innecesarios.
Desglose de las vulnerabilidades resueltas
Algunas de las vulnerabilidades más relevantes incluidas en la actualización mensual son:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 y CVE-2025-47953 (Office): posibles ataques a través del panel de vista previa y acceso local.
- CVE-2025-47172 (SharePoint): ejecución remota de código por parte de usuarios autenticados.
- CVE-2025-29828 (Schannel): fuga de memoria en servicios criptográficos.
- CVE-2025-32710 (Remote Desktop Gateway): acceso remoto no autorizado.
- CVE-2025-33070 y CVE-2025-47966: elevación de privilegios en Netlogon y Power Automate.
Los parches cubren, además, decenas de fallos catalogados como importantes, que abarcan múltiples servicios y componentes del sistema operativo, aplicaciones de Office y utilidades de administración. Microsoft destaca la importancia de revisar las notas técnicas asociadas a cada actualización, especialmente para quienes gestionan sistemas complejos, ya que algunos cambios pueden requerir acciones específicas o verificaciones adicionales según la configuración del entorno corporativo.
Estas actualizaciones de junio de 2025 reflejan el esfuerzo de Microsoft por frenar ataques sofisticados y garantizar la integridad de sus sistemas, en un contexto donde la explotación de vulnerabilidades sigue siendo una de las principales amenazas de seguridad informática.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.