- Microsoft ha publicat pegats per a 66 vulnerabilitats al juny de 2025, incloent dos zero-days: un explotat activament i un altre revelat públicament.
- Deu vulnerabilitats crítiques han estat corregides, la majoria relacionades amb execució remota de codi i elevació de privilegis.
- El zero-day més greu (CVE-2025-33053) afecta WebDAV i va ser utilitzat en atacs dirigits; requereix la interacció de lusuari.
- Altres fabricants, com ara Adobe i Google, també han llançat actualitzacions de seguretat rellevants aquest mes.
Dimarts passat 10 de juny de 2025, Microsoft va llançar el seu habitual pegat de seguretat mensual, conegut com Patch dimarts, corregint un total de 66 vulnerabilitats. Entre elles destaquen dos zero-days especialment rellevants: un ja s'estava explotant de manera activa i un altre havia estat divulgat públicament amb anterioritat. Aquestes actualitzacions afecten diferents versions de Windows i la suite d'aplicacions de Microsoft Office, així com altres productes i serveis de la companyia.
La xifra total de vulnerabilitats abasta diferents categories, des de problemes d'elevació de privilegis fins a execució remota de codi, passant per errors en la divulgació d'informació i denegació de servei. Segons el desglossament oficial, s'han corregit 13 vulnerabilitats d'elevació de privilegis, 25 d'execució remota de codi i 17 de filtració d'informació, Entre altres.
Zero-days: què s'ha solucionat aquest mes
Un dels errors més significatius resolts és el CVE-2025-33053, que afecta el sistema Web Distributed Authoring and Versioning (WebDAV) del Windows. Aquest punt feble va ser detectat per part de Check Point Research després d'un ciberatac frustrat a una empresa de defensa a Turquia. L'exploit permetia als atacants executar codi maliciós en equips vulnerables simplement fent que la víctima punxés en una URL WebDAV especialment manipulada, usant eines legítimes de Windows per sortejar restriccions. Segons la informació oficial, Microsoft va publicar el pegat després de ser informat pels investigadors.
El segon zero-day, CVE-2025-33073, afecta el client SMB de Windows i permet l'escalada de privilegis a nivell de sistema si un usuari és enganyat per connectar-se a un servidor maliciós. Aquest problema va ser divulgat públicament abans de tenir un pegat oficial, encara que es podia mitigar activant la signatura de SMB per polítiques de grup. Microsoft ha atribuït la troballa d?aquesta vulnerabilitat a un equip internacional d?experts en ciberseguretat.
Vulnerabilitats crítiques i altres errors corregits
A més dels zero-days, l'actualització del juny del 2025 ha abordat deu vulnerabilitats crítiques, centrades principalment en els següents productes:
- Microsoft Office (incloent Excel, Outlook, Word i PowerPoint): diverses fallades d'execució remota de codi que podien explotar-se usant el panell de vista prèvia per executar codi maliciós al sistema.
- Microsoft SharePoint Server: errors que permetien atacs remots autenticats.
- Windows Schannel: problema de fugida de memòria relacionat amb la seguretat criptogràfica.
- Gateway d'escriptori remot: permetia accessos no autoritzats des de xarxa.
- Inici de sessió a la xarxa de Windows i KDC Proxy Service: fallades que, encara que requerien atacs complexos, facilitaven l'augment de privilegis.
- Microsoft Power Automate: un error amb puntuació CVSS 9.8, considerat d'alt risc i corregit prèviament aquest mateix mes.
Altres millores han afectat Windows Installer, el protocol DHCP, drivers del sistema i la gestió d'emmagatzematge. El llistat complet dels pegats està disponible a la web oficial de Microsoft per als que necessitin una anàlisi tècnica detallada de cada cas.
Actualitzacions de seguretat d'altres fabricants
Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube i SAP també han publicat recentment pegats crítics per als seus productes, responent a descobriments de seguretat similars o potencialment explotables. Destaquen les actualitzacions d'Adobe per a les aplicacions Acrobar, InDesign i Experience Manager, i les correccions de Google per a Android i Chrome, que tapen diverses vulnerabilitats activament explotades.
L'ecosistema tecnològic continua veient activitat constant de pegats de seguretat a mesura que els investigadors i les empreses detecten noves fallades i les amenaces evolucionen. La recomanació sempre és mantenir els sistemes actualitzats i aplicar els pegats immediatament per evitar riscos innecessaris.
Desglossament de les vulnerabilitats resoltes
Algunes de les vulnerabilitats més rellevants incloses a l'actualització mensual són:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 i CVE-2025-47953 (Office): possibles atacs a través del panell de vista prèvia i accés local.
- CVE-2025-47172 (SharePoint): execució remota de codi per part d'usuaris autenticats.
- CVE-2025-29828 (Schannel): fugida de memòria en serveis criptogràfics.
- CVE-2025-32710 (Remote Desktop Gateway): accés remot no autoritzat.
- CVE-2025-33070 i CVE-2025-47966: elevació de privilegis a Netlogon i Power Automate.
Els pegats cobreixen, a més, desenes de fallades catalogades com a importants, que abasten múltiples serveis i components del sistema operatiu, aplicacions d'Office i utilitats d'administració. Microsoft destaca la importància de revisar les notes tècniques associades a cada actualització, especialment per als que gestionen sistemes complexos, ja que alguns canvis poden requerir accions específiques o verificacions addicionals segons la configuració de lentorn corporatiu.
Aquestes actualitzacions de juny de 2025 reflecteixen el esforç de Microsoft per frenar atacs sofisticats i garantir la integritat dels seus sistemes, en un context on l'explotació de vulnerabilitats continua sent una de les principals amenaces de seguretat informàtica.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.