El martes de parches corrige 72 vulnerabilidades, pero los días cero ya circulan por la web. El fallo en el kernel de Windows es especialmente peligroso.
Cinco de ellos ya han prestado buen servicio a los piratas informáticos.
Microsoft lanzó la actualización de seguridad de mayo Patch Tuesday, corrigiendo 72 vulnerabilidades en productos de la compañía, incluidas cinco explotadas en ataques reales y dos fallos de día cero (zero-day) que ya habían sido revelados públicamente. Entre las vulnerabilidades corregidas: 28 están relacionadas con ejecución remota de código (RCE), 17 con elevación de privilegios, 15 con filtración de información, siete con denegación de servicio (DoS), dos permiten eludir mecanismos de seguridad y dos más manipular datos. Esta lista no incluye las vulnerabilidades previamente corregidas en Azure, Microsoft Edge y otros productos.
La vulnerabilidad más peligrosa, explotada activamente por atacantes, recibió el identificador CVE-2025-30400. Afecta a la biblioteca DWM Core en Windows y permite a un usuario local con privilegios obtener acceso al sistema debido a un error de tipo use-after-free. Fue descubierta por especialistas del Microsoft Threat Intelligence Center.
De forma similar actúa CVE-2025-32701 en el controlador Windows Common Log File System, también otorgando al atacante acceso con nivel SYSTEM. Microsoft atribuye su descubrimiento a su propio equipo interno. La tercera vulnerabilidad similar — CVE-2025-32706 — afecta al mismo componente y fue identificada por investigadores del Google Threat Intelligence Group y CrowdStrike.
Además, Microsoft eliminó el riesgo asociado a CVE-2025-32709 en el controlador Ancillary Function Driver for WinSock. Aquí nuevamente se trata de un error de tipo use-after-free que puede ser explotado por un atacante local. El nombre del investigador que reportó la vulnerabilidad no ha sido revelado.
La quinta vulnerabilidad activamente explotada (CVE-2025-30397) corresponde al motor de scripts de Microsoft y puede ser usada a través de los navegadores Edge o Internet Explorer. El problema radica en un error típico de acceso al recurso, lo que permite a un atacante remoto ejecutar código arbitrario si el usuario hace clic en un enlace especialmente preparado.
De las vulnerabilidades de día cero reveladas antes del lanzamiento del parche, destaca CVE-2025-26685. Esta falla en Microsoft Defender for Identity permite a un atacante suplantar una cuenta si tiene acceso a la red local. El error fue reportado por un empleado de la empresa NetSPI.
La segunda vulnerabilidad públicamente conocida — CVE-2025-32702 — afecta a Visual Studio y está relacionada con la posibilidad de inyección de comandos (Command Injection). Permite a un atacante no autenticado ejecutar código arbitrario localmente.
Junto con la actualización de mayo, Microsoft publicó detalles sobre decenas de vulnerabilidades en Visual Studio, Office, Azure, SharePoint, Windows Media, Hyper-V y muchos otros componentes del ecosistema. La lista completa de CVE y productos afectados está disponible en este enlace.
¿Estás cansado de que Internet sepa todo sobre ti?