Microsoft lanzó hoy actualizaciones para solucionar al menos 137 vulnerabilidades de seguridad en sus sistemas operativos de Windows y software compatible. Se sabe que ninguna de las debilidades abordadas este mes es explotada activamente, pero 14 de los fallas obtuvieron la calificación «crítica» más grave de Microsoft, lo que significa que podrían ser explotados para confiscar el control sobre las PC de Windows vulnerables con poca o ninguna ayuda de los usuarios. Si bien no figura como crítica, CVE-2025-49719 es una vulnerabilidad de divulgación de información divulgada públicamente, con todas las versiones desde SQL Server 2016 que reciben parches. Microsoft califica CVE-2025-49719 como menos propensos a ser explotados, pero la disponibilidad de código de prueba de concepto para este defecto significa que su parche probablemente debería ser una prioridad para las empresas afectadas. Mike Walters, cofundador de Action1, dijo que CVE-2025-49719 puede explotarse sin autenticación, y que muchas aplicaciones de terceros dependen de SQL Server y los controladores afectados, lo que puede introducir un riesgo de cadena de suministro que se extiende más allá de los usuarios directos de SQL Server. «La exposición potencial de la información confidencial hace de esta una preocupación de alta prioridad para las organizaciones que manejan datos valiosos o regulados», dijo Walters. «La naturaleza integral de las versiones afectadas, que abarcan múltiples versiones de SQL Server desde 2016 hasta 2022, indica un problema fundamental en cómo SQL Server maneja la gestión de la memoria y la validación de entrada». Adam Barnett en Rapid7 señala que hoy es el final del camino para SQL Server 2012, lo que significa que no habrá parches de seguridad futuros incluso para vulnerabilidades críticas, incluso si está dispuesto a pagar a Microsoft por el privilegio. Barnett también llamó la atención a CVE-2025-47981, una vulnerabilidad con un puntaje CVSS de 9.8 (10 siendo el peor), un error de ejecución de código remoto en la forma en que los servidores y los clientes de Windows negocian para descubrir mecanismos de autenticación de apoyo mutuo. Esta vulnerabilidad previa a la autenticación afecta a cualquier máquina cliente de Windows que ejecute Windows 10 1607 o superior, y todas las versiones actuales de Windows Server. Microsoft considera que es más probable que los atacantes exploten este defecto. Microsoft también reparó al menos cuatro fallas críticas de ejecución de código remoto en la oficina (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49702). Microsoft clasifica a los dos primeros por tener una mayor probabilidad de explotación, no requieren interacción del usuario y puede activarse a través del panel de vista previa. Dos errores más de alta gravedad incluyen CVE-2025-49740 (CVSS 8.8) y CVE-2025-47178 (CVSS 8.0); El primero es una debilidad que podría permitir que los archivos maliciosos elijan la detección de Microsoft Defender SmartScreen, una característica incorporada de Windows que intenta bloquear descargas no confiables y sitios maliciosos. CVE-2025-47178 implica una falla de ejecución de código remoto en Microsoft Configuration Manager, una herramienta empresarial para administrar, implementar y asegurar computadoras, servidores y dispositivos en una red. Ben Hopkins en Immersive Labs dijo que este error requiere privilegios muy bajos para explotar, y que es posible que un usuario o atacante con un papel de acceso de solo lectura lo explote. «La explotación de esta vulnerabilidad permite que un atacante ejecute consultas SQL arbitrarias como la cuenta de servicio SMS privilegiada en Microsoft Configuration Manager», dijo Hopkins. «Este acceso se puede utilizar para manipular implementaciones, impulsar el software malicioso o los scripts a todos los dispositivos administrados, alterar configuraciones, robar datos confidenciales y potencialmente escalarse a la ejecución completa del código del sistema operativo en toda la empresa, dando al atacante un amplio control sobre todo el entorno de TI». Por separado, Adobe ha lanzado actualizaciones de seguridad para una amplia gama de software, incluidos After Effects, Adobe Audition, Illustrator, FrameMaker y Coldfusion. El Centro de Tormenta Sans de Internet tiene un desglose de cada parche individual, indexado por la gravedad. Si es responsable de administrar varios sistemas de Windows, puede valer la pena vigilar a Askwoody para obtener las actualizaciones potencialmente inestables (considerando la gran cantidad de vulnerabilidades y componentes de Windows abordados este mes). Si es un usuario de Windows Home, considere hacer una copia de seguridad de sus datos y/o conducir antes de instalar cualquier parche, y suelte una nota en los comentarios si encuentra algún problema con estas actualizaciones.