Patch Tuesday de junio: Microsoft corrige 200 vulnerabilidades, entre ellas YellowKey y GreenPlasma
No espere a los primeros ataques: instale las actualizaciones antes de que las amenazas se materialicen.
Las actualizaciones mensuales de seguridad de Windows, conocidas como "Patch Tuesday" o martes de parches, rara vez atraen atención fuera de los chats de administradores, pero la entrega de junio resultó ser una de las más grandes en los últimos tiempos. La compañía solucionó 200 vulnerabilidades, incluidas tres vulnerabilidades de día cero divulgadas públicamente. Según Microsoft, por ahora no hay indicios de explotación en ataques reales.
El paquete de junio incluyó correcciones para 33 vulnerabilidades críticas. La mayoría están relacionadas con ejecución remota de código, cuando un atacante puede ejecutar comandos en un sistema ajeno a través de la red o de datos especialmente manipulados. Las demás fallas críticas afectan a la elevación de privilegios y a la divulgación de información.
Una de las vulnerabilidades notables recibió el identificador CVE-2026-45586 (7.8 en la escala CVSS 3.1, AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) y está relacionada con Windows Collaborative Translation Framework — un componente de Windows para el manejo de entrada y funciones de idioma. El error permitía a un atacante local elevar privilegios hasta el nivel SYSTEM. Los investigadores vinculan la corrección con la falla divulgada públicamente GreenPlasma.
La segunda vulnerabilidad divulgada, CVE-2026-49160, (7.5 en la escala CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) afecta a HTTP.sys y recibió el nombre «HTTP/2 Bomb». En una demostración, el ataque aprovechaba características de HTTP/2 en el procesamiento de encabezados: un pequeño volumen de datos entrantes obligaba al servidor a asignar una cantidad desproporcionada de memoria. Bajo ciertas configuraciones, un atacante podía mantener los recursos ocupados y provocar fallos en el servidor.
La tercera falla, CVE-2026-50507 (6.8 en la escala CVSS v3.1, AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) está relacionada con una forma de eludir la protección de BitLocker. La vulnerabilidad, conocida con el nombre YellowKey, permitía con acceso físico al dispositivo obtener acceso al disco cifrado a través del entorno de recuperación de Windows. Según la fuente, el riesgo afectaba principalmente a sistemas Windows 11 y Windows Server 2022/2025, donde BitLocker usaba solo el TPM sin código PIN.
Administradores y usuarios no deberían posponer la instalación de las actualizaciones de seguridad de junio para Windows. Incluso si por ahora no hay indicios de ataques reales, las vulnerabilidades divulgadas públicamente pronto llaman la atención de los atacantes, por lo que retrasar la actualización aumenta el riesgo para estaciones de trabajo y servidores.