Microsoft ha publicado actualizaciones de seguridad mensuales que abordan un total de 159 nuevas vulnerabilidades, incluidas 8 vulnerabilidades del tipo Zero Day.
Productos afectados
- .NET, .NET Framework
- Active Directory Domain Services
- Active Directory Federation Services
- BranchCache
- IP Helper
- Hyper-V
- Line Printer Daemon Service (LPD)
- MapUrlToZone
- Microsoft Azure Gateway Manager
- Microsoft Brokering File System
- Microsoft Digest Authentication
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office Outlook for Mac
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Teams
- Microsoft Windows Search Component
- Power Automate
- Reliable Multicast Transport Driver (RMCAST)
- Visual Studio
- Windows BitLocker
- Windows Boot Loader
- Windows Boot Manager
- Windows Client-Side Caching (CSC) Service
- Windows Cloud Files Mini Filter Driver
- Windows COM
- Windows Connected Devices Platform Service
- Windows Cryptographic Services
- Windows Digital Media
- Windows Direct Show
- Windows DWM Core Library
- Windows Event Tracing
- Windows Geolocation Service
- Windows Hello
- Windows Installer
- Windows Kerberos
- Windows Kernel Memory
- Windows Mark of the Web (MOTW)
- Windows Message Queuing
- Windows OLE
- Windows PrintWorkflowUserSvc
- Windows Recovery Environment Agent
- Windows Remote Desktop Services
- Windows Secure Boot
- Windows Smart Card
- Windows SmartScreen
- Windows SPNEGO Extended Negotiation
- Windows Telephony Service
- Windows Themes
- Windows UPnP Device Host
- Windows Virtual Trusted Platform Module
- Windows Virtualization-Based Security (VBS) Enclave
- Windows Web Threat Defense User Service
- Windows Win32K – GRFX
- Windows WLAN Auto Config Service
Impacto
Las vulnerabilidades de severidad alta se identifican como:
CVE-2025-21366; CVE-2025-21395; CVE-2025-21186: de tipo «Arbitrary Code Execution» y con puntuación CVSS v3 igual a 7,8. Estas vulnerabilidades podrían explotarse distribuyendo documentos especialmente diseñados para ejecutar código arbitrario en los dispositivos de destino.
CVE-2025-21333; CVE-2025-21334; CVE-2025-21335: de tipo «Elevation of Privilege» y con puntuación CVSS v3 de 7,8. Estas vulnerabilidades residen en el Servicio de integración del kernel de Windows Hyper-V NT (VSP) y podrían permitir privilegios de SISTEMA en los dispositivos afectados a través del acceso no autorizado a la memoria desasignada (use-after-free).
CVE-2025-21275: de tipo «Elevation of Privilege» y con puntuación CVSS v3 igual a 7,8. Esta vulnerabilidad, si se explota, podría permitir la obtención de privilegios de SISTEMA en los dispositivos afectados.
Otras vulnerabilidades de severidad media se identifican como:
CVE-2025-21308: abre un enlace externo, de tipo «Spoofing» y con puntuación CVSS v3 igual a 6,5. Esta vulnerabilidad podría permitir a un actor malicioso distribuir documentos especialmente diseñados a través de correo electrónico y/o mensajería instantánea, alentando a la víctima a manipularlos.
Recomendación
De acuerdo con las declaraciones del proveedor, se recomienda actualizar los productos afectados a través de la función adecuada de Windows Update.
Referencias:
https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan
https://msrc.microsoft.com/update-guide