Publicado el

Parche corrección vulnerabilidades críticas Chrome

Google ha lanzado una actualización para su navegador Chrome que incluye 20 correcciones de seguridad, varias de ellas de alta gravedad. La mayoría de estas vulnerabilidades se encontraron en el motor V8 de Chrome, la parte de Chrome (y otros navegadores basados ​​en Chromium) que ejecuta JavaScript.

Análisis

Google ha lanzado una actualización para su navegador Chrome que incluye 20 correcciones de seguridad, varias de ellas de alta gravedad. La mayoría de estas vulnerabilidades se encontraron en el motor V8 de Chrome, la parte de Chrome (y otros navegadores basados ​​en Chromium) que ejecuta JavaScript.

Chrome es, con diferencia, el navegador más popular del mundo, utilizado por aproximadamente 3400 millones de personas. Esta magnitud implica que, cuando Chrome presenta una vulnerabilidad de seguridad, miles de millones de usuarios quedan potencialmente expuestos hasta que actualicen el navegador.

Estas vulnerabilidades son graves porque afectan al código que ejecuta casi todos los sitios web que visitas. Cada vez que cargas una página, tu navegador ejecuta JavaScript de diversas fuentes, tanto si te das cuenta como si no. Sin las medidas de seguridad adecuadas, los atacantes pueden introducir instrucciones maliciosas que tu navegador ejecuta, a veces sin que hagas clic en nada. Esto podría provocar el robo de datos, infecciones de malware o incluso la vulneración total del sistema.

Por eso es importante instalar estos parches cuanto antes. Si no los instalas, podrías ser vulnerable a un ataque simplemente navegando por internet, y los atacantes suelen aprovechar este tipo de vulnerabilidades antes de que la mayoría de los usuarios tengan la oportunidad de actualizar. Deja siempre que tu navegador se actualice automáticamente y no retrases el reinicio para aplicar los parches de seguridad, ya que las actualizaciones suelen solucionar precisamente este tipo de riesgos.

Entre las vulnerabilidades del motor V8, destacan dos:

CVE-2025-12428 es una vulnerabilidad de alta gravedad de «confusión de tipos» en el motor JavaScript V8. Esto ocurre cuando el código no verifica el tipo de objeto que está procesando y, por lo tanto, lo utiliza incorrectamente. En otras palabras, el software confunde un tipo de dato con otro, como tratar una lista como un solo valor o un número como texto. Esto puede provocar un comportamiento impredecible en Chrome y, en algunos casos, permitir que los atacantes manipulen la memoria y ejecuten código de forma remota mediante JavaScript malicioso en un sitio web comprometido.

La vulnerabilidad CVE-2025-12036, clasificada como crítica, se debe a una implementación incorrecta en V8. Esta vulnerabilidad permite la ejecución remota de código (RCE), lo que significa que un atacante podría ejecutar código en su ordenador simplemente redirigiendo su visita a una página web especialmente diseñada. Se origina en un manejo inadecuado del funcionamiento interno de los motores JavaScript y WebAssembly, y conlleva un alto riesgo de robo de datos, instalación de malware e incluso la vulneración total del sistema.

Los usuarios de otros navegadores basados ​​en Chromium, como Edge, Opera y Brave, pueden esperar actualizaciones similares en un futuro próximo.

 

Recomendaciones

La actualización de Chrome lleva la versión a 142.0.7444.59/.60 para Windows, 142.0.7444.60 para macOS y 142.0.7444.59 para Linux. Por lo tanto, si tu Chrome tiene la versión 142.0.7444.59 o posterior, está protegido contra estas vulnerabilidades.

La forma más sencilla de actualizar es permitir que Chrome se actualice automáticamente, pero puedes quedarte atrás si nunca cierras el navegador o si algo falla, como que una extensión te impida actualizarlo.

Para actualizar manualmente, haz clic en el menú « Más » (tres puntos verticales) y luego selecciona Configuración > Acerca de Chrome . Si hay una actualización disponible, Chrome te notificará y comenzará a descargarla. Luego, reinicia Chrome para completar la actualización y estarás protegido contra estas vulnerabilidades.

Referencias

https://www.malwarebytes.com/blog/news/2025/10/update-chrome-now-20-security-fixes-just-landed

https://www.malwarebytes.com/blog/explained/2025/06/how-to-update-chrome-on-every-operating-system

Publicado el

Vulnerabilidad crítica en Windows

CVE-2025-59287es una vulnerabilidad crítica en el servicio WSUS (Windows Server Update Services) de Microsoft. Se la clasifica como de tipo Remote Code Execution (RCE) no autenticada, causada por una deserialización insegura de datos no confiables en los mecanismos de reporte dentro de WSUS.

Análisis

CVE-2025-59287 se encuentra en la forma en que WSUS procesa ciertos objetos de autorización (cookies) en sus servicios web de reporte. En particular, la función que decodifica y deserializa datos cifrados dentro de estas cookies utiliza el método BinaryFormatter.Deserialize() de .NET sin una validación estricta del tipo de objeto que se está deserializando. Un atacante remoto, mediante una solicitud SOAP especialmente diseñada hacia el endpoint /ClientWebService/Client.asmx , puede enviar un payload cifrado malicioso que, al ser deserializado, ejecute código arbitrario con privilegios del sistema en el servidor afectado.

Recomendaciones

    • Instalar el parche de Windows. 

Referencias

https://support.microsoft.com/en-us/topic/october-23-2025-kb5070883-os-build-17763-7922-out-of-band-860bc03c-52fb-407c-89b2-14ecf4893c5c

https://www.picussecurity.com/resource/blog/cve-2025-59287-explained-wsus-unauthenticated-rce-vulnerability

https://thehackernews.com/2025/10/microsoft-issues-emergency-patch-for.html

Publicado el

Actualización de parches críticos de Oracle Octubre de 2025

Oracle ha publicado su actualización trimestral Critical Patch Update (CPU) de octubre 2025, que contiene 374 parches de seguridad cubriendo más de 260 CVE, incluyendo varias vulnerabilidades de severidad crítica y muchas explotables de forma remota sin autenticación. Esta actualización es complementaria a recientes alertas de seguridad específicas, como las referidas a CVE‑2025‑61882 y CVE‑2025‑61884 en E-Business Suite, que ya estaban siendo explotadas en campañas de extorsión.

Análisis

La amplitud del parcheo es muy alta: incluye 374 correcciones, de las cuales más de 230 abordan vulnerabilidades remotamente explotables sin autenticación.
Las familias de productos con mayor número de parches son:

    • Oracle Communications Applications: 64 parches, 46 de ellos explotables sin autenticación.
    • Oracle Communications (en general): 73 parches, 47 explotables sin autenticación.
    • Otras como Financial Services, Fusion Middleware, MySQL, Retail Applications, etc., también presentan vulnerabilidades significativas.
La explotación previa de vulnerabilidades como CVE-2025-61882 y CVE-2025-61884 (en E-Business Suite) indica que los actores de amenaza están activos y que la ventana de riesgo es elevada.
 
Dada la amplia implantación de productos Oracle en entornos críticos (bases de datos, middleware, aplicaciones empresariales), la acumulación de vulnerabilidades explotables sin autenticación representa un riesgo operativo y de cumplimiento para infraestructuras de misión crítica.
 

Recomendaciones

    • Realizar inventario inmediato de todas las instancias de productos Oracle en la organización: versión, módulo, exposición a red, criticidad.
    • Priorizar la aplicación del CPU octubre 2025 lo antes posible, empezando por los sistemas con mayor riesgo (expuestos, servicios críticos, accesibles sin autenticación).
    • En entornos que no puedan parchear de inmediato: implementar controles compensatorios.
    • Planificar actualizaciones para evitar quedar en versiones no parcheadas.

Referencias

https://www.securityweek.com/oracle-releases-october-2025-patches/

https://www.oracle.com/security-alerts/cpuoct2025.html

Publicado el

Microsoft corrige 6 vulnerabilidades de día cero

Introducción

Microsoft ha publicado su boletín mensual de seguridad correspondiente a octubre de 2025, corrigiendo un total de 172 vulnerabilidades, incluyendo 6 fallos de día cero, 8 vulnerabilidades críticas y múltiples errores clasificados como importantes. Este parche también marca el fin del soporte oficial de seguridad gratuito para Windows 10, salvo para quienes se suscriban al programa de actualizaciones extendidas (ESU).

Análisis

Las vulnerabilidades destacadas son las siguientes:

Seis fallos fueron clasificados como día cero, algunos ya explotados activamente:

  • CVE-2025-24990 – Elevación de privilegios en el controlador de módem Agere

Microsoft ha eliminado el controlador vulnerable (ltmdm64.sys) de Windows.

Afecta a todas las versiones de Windows, incluso si el módem no está en uso.

 

  • CVE-2025-24052 – Falla similar en el mismo controlador Agere

También divulgada públicamente.

Aún sin atribución oficial.

 

  • CVE-2025-59230 – Elevación de privilegios en el Administrador de conexión de acceso remoto de Windows

Permite a atacantes autorizados obtener privilegios de SYSTEM.

Detectada por el MSTIC y el MSRC de Microsoft.

 

  • CVE-2025-47827 – Omisión de arranque seguro en IGEL OS < v11

Permite montar imágenes manipuladas desde un sistema SquashFS no verificado.

 

  • CVE-2025-0033 – Corrupción de RMP en AMD SEV-SNP

Vulnerabilidad en procesadores AMD EPYC.

Permite manipulación del hipervisor comprometido durante la inicialización de SNP.

 

  • CVE-2025-2884 – Lectura fuera de límites en TPM 2.0

Afecta a la función CryptHmacSign del estándar TCG.

Podría permitir DoS o fuga de información.

 

 

Vulnerabilidades críticas:

 

Cinco de ejecución remota de código y tres de elevación de privilegios:

  • CVE-2025-59227, CVE-2025-59234, CVE-2025-59236: RCE en Microsoft Office y Excel.
  • CVE-2025-0033: Corrupción de RMP en AMD SEV-SNP.
  • CVE-2025-49708: Elevación de privilegios en el componente gráfico de Microsoft.
  • CVE-2025-59247: Elevación de privilegios en Azure PlayFab.
  • CVE-2025-59291/92: Fallos en Azure Confidential Container Instances.

Recomendaciones

 

  • Aplicar todas las actualizaciones de seguridad disponibles desde Windows Update, WSUS o mediante instalación manual.

  • Eliminar el controlador de módem Agere (ltmdm64.sys) si aún no ha sido desinstalado automáticamente.
  • Priorizar sistemas con servicios expuestos a Internet, especialmente aquellos vulnerables a elevación de privilegios.
  • Verificar mitigaciones adicionales para hardware AMD afectado por CVE-2025-0033, especialmente en entornos con Azure Confidential Computing.
  • Actualizar IGEL OS a la versión 11 o superior si se utiliza este sistema.

Referencias

https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws

https://blog.talosintelligence.com/microsoft-patch-tuesday-for-october-2025-snort-rules-and-prominent-vulnerabilities

https://www.darkreading.com/vulnerabilities-threats/microsoft-october-patch-update

https://cyberscoop.com/microsoft-patch-tuesday-october-2025