Actualizaciones mensuales de Microsoft

20/10/2025 Noticias 0

Microsoft ha publicado actualizaciones de seguridad mensuales que abordan múltiples nuevas vulnerabilidades. Un actor malicioso podría ejecutar código arbitrario, escalar privilegios, producir denegación de servicios o evadir funciones de seguridad en los sistemas afectados.

Productos afectados

  • Azure (Networking, Bot Service, Connected Machine Agent, Entra, Windows Virtual Machine Agent)
  • Capability Access Management Service (camsvc)
  • Dynamics 365 FastTrack Implementation Assets
  • Graphics Kernel, Microsoft AutoUpdate (MAU), Brokering File System, Edge (Chromium-based)
  • Microsoft Graphics Component, High Performance Compute Pack (HPC)
  • Microsoft Office (Excel, PowerPoint, SharePoint, Visio, Word)
  • Microsoft Virtual Hard Drive, Windows Hyper-V, SQL Server
  • Windows (Ancillary Function Driver for WinSock, BitLocker, Bluetooth Service, Connected Devices Platform Service, DWM, Defender Firewall Service, Imaging Component, Internet Information Services, Kernel, Local Security Authority Subsystem Service, Management Services, MapUrlToZone, MultiPoint Services, NTFS, NTLM, PowerShell, Routing and Remote Access Service, SMB, SMBv3 Client, SPNEGO Extended Negotiation, TCP/IP, UI XAML Maps MapControlSettings, UI XAML Phone DatePickerFlyout, Win32K – GRFX)
  • XBox Gaming Services y Xbox

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-24052: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de elevación de privilegios en Windows Agere Modem Driver (ltmdm64.sys). Un actor malicioso podría obtener privilegios SYSTEM localmente.

CVE-2025-24990: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inapropiado en la componente RasMan (Windows Remote Access Connection Manager). Un actor malicioso podría obtener privilegios elevados de tipo SYSTEM localmente.

CVE-202525004: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inadecuado en Microsoft PowerShell. Un actor malicioso podría elevar privilegios localmente.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2025-24052
  • https://www.cve.org/CVERecord?id=CVE-2025-24990
  • https://www.cve.org/CVERecord?id=CVE-2025-25004
  • https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct