Microsoft corrigió 63 vulnerabilidades de una sola vez, pero los hackers lograron explotar una.
La mayor amenaza salió a la luz demasiado tarde.
En el ciclo de parches de noviembre, Microsoft solucionó 63 vulnerabilidades, incluida una brecha crítica de día cero que ya se había utilizado en ataques. En esta ocasión, las correcciones abarcaron una amplia gama de componentes de Windows y productos de Microsoft, desde el núcleo del sistema operativo hasta el paquete Office y soluciones en la nube.
Según la propia empresa, el problema más peligroso afectaba al núcleo de Windows y permitía obtener privilegios del sistema mediante una condición de carrera: a la vulnerabilidad se le asignó el identificador CVE-2025-62215. El fallo permitía escalar privilegios localmente aprovechando una sincronización incorrecta al compartir recursos. La información sobre su explotación procedió del equipo interno de amenazas cibernéticas de Microsoft.
Entre las demás vulnerabilidades, 29 están relacionadas con la elevación de privilegios, 16 permiten la ejecución remota de código, 11 exponen información sensible, 3 provocan fallos en el sistema, 2 eluden mecanismos de protección y otras 2 se refieren a la falsificación de datos. De ellas, 4 recibieron la calificación de «críticas», entre otras cosas por la posibilidad de ejecución remota de código arbitrario.
Las actualizaciones afectaron tanto a versiones actuales de Windows como a sistemas obsoletos. Por primera vez en el marco del soporte extendido, Windows 10 recibió una actualización; para los usuarios de este sistema operativo Microsoft también publicó una corrección fuera de banda para un error que impedía la inscripción en el programa ESU. Además de las correcciones de vulnerabilidades, la compañía también lanzó las actualizaciones KB5066835 y KB5066793 para Windows 11, y para Windows 10 — la compilación KB5068781.
Paralelamente a Microsoft, otras empresas también publicaron actualizaciones. Adobe corrigió vulnerabilidades en productos como InDesign, Illustrator, Photoshop y otros. Cisco solucionó errores en varias soluciones, incluidas ASA y sistemas de identidad de usuarios, y además advirtió sobre una nueva oleada de ataques que aprovechan vulnerabilidades antiguas.
En la biblioteca expr-eval para JavaScript se corrigió un error crítico de ejecución remota de código. Fortinet publicó una actualización para FortiOS que resuelve un problema de elevación de privilegios. En Android, el boletín de noviembre de Google corrigió dos vulnerabilidades. Además, Ivanti, SAP, Samsung y QNAP sincronizaron con Microsoft la publicación de sus actualizaciones mensuales. En particular, QNAP corrigió siete vulnerabilidades de día cero que se demostraron en el concurso de hacking Pwn2Own Ireland 2025.
Este mes merecen especial atención las vulnerabilidades en productos de Microsoft Office, incluidos Excel y Word, donde se arreglaron tanto fallos de divulgación de información como errores que permitían la ejecución de código malicioso al abrir documentos. También se detectaron vulnerabilidades en Kerberos de Windows, en componentes de DirectX, en controladores Bluetooth y Wi‑Fi, en Escritorio remoto y en el subsistema de Windows para Linux con interfaz gráfica. Algunos problemas afectaron a Visual Studio y a extensiones de CoPilot, lo que subraya la exposición de las herramientas para desarrolladores.
El listado completo de las vulnerabilidades corregidas está disponible en la documentación oficial de Microsoft. Dado que varias de ellas están siendo explotadas activamente, se recomienda no demorar la actualización de los sistemas a su estado más reciente.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla