«Solo abre el archivo con Paint» — parece inofensivo, pero así los hackers podían hacerse con tu PC hasta la actualización de ayer.
Microsoft parcheó en silencio 120 vulnerabilidades — y entre ellas hay una más grave que la de Paint.
Microsoft lanzó el paquete de correcciones de seguridad de mayo (martes de parches) para sus productos. Esta vez la actualización fue amplia, pero sin la principal preocupación: la compañía no informó sobre nuevas vulnerabilidades de día cero que ya estén divulgadas públicamente o utilizadas en ataques.
En el marco del martes de parches de mayo, Microsoft solucionó 120 vulnerabilidades. Diecisiete de ellas fueron calificadas como críticas. La mayor parte de los problemas más peligrosos está relacionada con la ejecución remota de código; otras dos permiten la elevación de privilegios y una provoca la divulgación de información.
La mayoría de los errores corregidos corresponde a la elevación de privilegios —se contabilizaron 61 vulnerabilidades de ese tipo. Otras 31 están relacionadas con la ejecución remota de código, 14 con la divulgación de datos, 13 con la suplantación, 8 con la denegación de servicio y 6 con la elusión de mecanismos de protección.
BleepingComputer aclara que en el recuento solo se incluyeron las vulnerabilidades corregidas por Microsoft el día del lanzamiento de mayo. Los errores en Mariner, Azure, Copilot, Microsoft Teams y Microsoft Partner Center, solucionados anteriormente en mayo, no se añadieron al total. Tampoco se tuvieron en cuenta 131 problemas en Microsoft Edge y Chromium que este mes corrigió Google.
Los administradores deben prestar especial atención a las vulnerabilidades en Microsoft Office, Word y Excel. Algunas permiten ejecutar código tras abrir un archivo malicioso. En ciertos casos el peligro surge incluso al ver el documento en el panel de vista previa; por ello, conviene actualizar sin demora los sistemas en los que los usuarios reciben adjuntos con frecuencia.
Entre las vulnerabilidades destacadas está CVE-2026-35421 en Windows GDI. Para el ataque basta con abrir un archivo Enhanced Metafile especialmente manipulado en Microsoft Paint. Otro problema grave, CVE-2026-40365, afecta a Microsoft SharePoint Server: un atacante con una cuenta puede llevar a cabo un ataque de red y ejecutar código de forma remota en el servidor.
Microsoft también corrigió CVE-2026-41096 en el cliente DNS de Windows. En ese escenario, un servidor DNS controlado por un atacante envía una respuesta especial al sistema Windows vulnerable, tras lo cual el cliente DNS procesa incorrectamente los datos y corrompe la memoria. Como resultado, el atacante puede ejecutar código de forma remota en la máquina objetivo.
El listado completo de vulnerabilidades corregidas en el marco del martes de parches de mayo se puede consultar aquí.