Autor: Seguridad CSIRT-CV

Adobe ha lanzado una actualización de seguridad crítica que aborda al menos 39 vulnerabilidades en diversos productos, incluyendo Adobe ColdFusion, Photoshop, Illustrator, Lightroom, Dreamweaver, Connect, InDesign, Substance 3D Painter, Bridge y Dimension.

Análisis

Las vulnerabilidades identificadas abarcan una variedad de productos y afectan tanto a plataformas Windows como macOS. La explotación exitosa de estas fallas podría permitir a atacantes ejecutar código arbitrario, eludir funciones de seguridad, acceder a información sensible o causar interrupciones en el servicio. Adobe ha señalado que no tiene conocimiento de que estas vulnerabilidades hayan sido explotadas activamente antes de la disponibilidad de los parches.

Parta mas información sobre las vulnerabilidades se recomienda consultar el boletín de seguridad de Adobe.

Recursos afectados

• • Adobe ColdFusion: versiones CF2023: hasta la 2023.0.1.314 y CF2021: hasta la 2021.0.10.314.
  • Adobe Photoshop: versiones 2023 hasta la 24.7.3 y 2024: hasta la 25.9.1.
  • Adobe Illustrator: No se han especificado versiones.
  • Adobe Lightroom: No se han especificado versiones.
  • Adobe Dreamweaver: No se han especificado versiones.
  • Adobe Connect: No se han especificado versiones.
  • Adobe InDesign: No se han especificado versiones.
  • Adobe Substance 3D Painter: No se han especificado versiones.
  • Adobe Bridge: No se han especificado versiones.
  • Adobe Dimension: No se han especificado versiones.

Recomendaciones

Adobe recomienda que los usuarios y administradores de sistemas apliquen las actualizaciones correspondientes sin demora.

• • Adobe ColdFusion: CF2023: 2023.0.1.315 y CF2021: 2021.0.10.315
  • Adobe Photoshop: 2023: 24.7.4 y 2024: 25.11
  • Adobe Illustrator: Actualización disponible en el sitio oficial
  • Adobe Lightroom: Actualización disponible en el sitio oficial
  • Adobe Dreamweaver: Actualización disponible en el sitio oficial
  • Adobe Connect: Actualización disponible en el sitio oficial
  • Adobe InDesign: Actualización disponible en el sitio oficial
  • Adobe Substance 3D Painter: Actualización disponible en el sitio oficial
  • Adobe Bridge: Actualización disponible en el sitio oficial
  • Adobe Dimension: Actualización disponible en el sitio oficial

Las versiones corregidas específicas pueden variar según el producto y la plataforma. Se recomienda consultar el sitio oficial de Adobe para obtener detalles precisos.

Referencias

• • https://www.securityweek.com/adobe-patches-big-batch-of-critical-severity-software-flaws/

Ayer, 13 de mayo de 2025, Microsoft publicó su actualización mensual de seguridad, Patch Tuesday, abordando un total de 75 vulnerabilidades. Cinco de estas vulnerabilidades han sido identificadas como «zero-day» activamente explotadas, mientras que otras dos han sido divulgadas públicamente sin evidencia de explotación. Además, se han corregido 12 vulnerabilidades críticas, principalmente de ejecución remota de código (RCE) y elevación de privilegios.
Estas vulnerabilidades afectan una amplia gama de productos, incluidos Windows (10, 11 y versiones de servidor), Microsoft Office, Visual Studio, Edge (modo IE), y servicios como Active Directory y Remote Desktop Gateway. La gravedad de esta ronda de parches destaca la necesidad urgente de aplicar las actualizaciones correspondientes.

Análisis

A continuación, se destacan las vulnerabilidades más relevantes:

• • Zero days activos
    • CVE-2025-30397 (CVSS 7.5): Corrupción de memoria en el motor de scripting de tipo Ejecución Remota de Código (RCE). Explotada activamente
    • CVE-2025-32706 (CVSS ND): Vulnerabilidad en CLFS (Common Log File System) de tipo Elevación de privilegios. Explotada
      activamente
    • CVE-2025-32701 (CVSS ND): Vulnerabilidad adicional en CLFS de tipo Elevación de privilegios. Explotada activamente
    • CVE-2025-32709 (CVSS ND): Vulnerabilidad en Windows WinSock Helper de tipo Elevación de privilegios. Explotada activamente
    • CVE-2025-32392 (CVSS ND): Vulnerabilidad en el componente MSHTML (Edge IE mode) de tipo RCE vía navegador. Explotada activamente
  • Otras vulnerabilidades críticas
    • CVE-2025-30504 (CVSS 9.8): Vulnerabilidad de tipo Elevación de privilegios
    • CVE-2025-30501 (CVSS 8.1): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)
    • CVE-2025-30506 (CVSS 8.5): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)
    • CVE-2025-30502 (CVSS 8.8): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)

Recursos afectados

• • Sistemas Operativos: Windows 10 y 11
  • Aplicaciones: Microsoft Edge (modo IE), Visual Studio, Microsoft Defender for Identity
  • Servicios: Windows Routing and Remote Access Service (RRAS), Remote Desktop Gateway Service, Active Directory Certificate Services (AD CS)

Recomendaciones

• • Aplicar todos los parches de seguridad proporcionados por Microsoft.
  • Priorizar la mitigación de los 5 zero-days, especialmente en sistemas expuestos a internet.
  • Deshabilitar el modo IE en Microsoft Edge si no es necesario.
  • Revisar y reforzar las configuraciones de seguridad en servicios como RRAS y Remote Desktop Gateway.

Referencias

• • https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2025-patch-tuesday-fixes-5-exploited-zero-days-72-flaws/
  • https://www.tripwire.com/state-of-security/may-2025-patch-tuesday-analysis
  • https://blog.talosintelligence.com/microsoft-patch-tuesday-for-may-2025-snort-rules-and-prominent-vulnerabilities/
  • https://www.darkreading.com/vulnerabilities-threats/windows-zero-day-bug-exploited-browser-rce
  • https://www.securityweek.com/zero-day-attacks-highlight-another-busy-microsoft-patch-tuesday/
  • https://cyberscoop.com/microsoft-patch-tuesday-may-2025/
  • https://www.helpnetsecurity.com/2025/05/13/patch-tuesday-microsoft-fixes-5-actively-exploited-zero-days/
  • https://www.theregister.com/2025/05/14/patch_tuesday_may

Apple lanzó la actualización de seguridad iOS 18.5, abordando múltiples vulnerabilidades críticas en sus plataformas iOS y macOS. Estas vulnerabilidades podrían ser explotadas por atacantes para ejecutar código arbitrario, comprometer la privacidad del usuario y afectar la estabilidad del sistema.

Análisis

A continuación, se detallan las principales vulnerabilidades corregidas en iOS 18.5, junto con sus identificadores CVE y puntuaciones CVSS:

• • CVE-2025-31251 (CVSS 7.8): AppleJPEG: Vulnerabilidad que permite la ejecución de código arbitrario al procesar archivos multimedia manipulados.
  • CVE-2025-31239 (CVSS 7.5): CoreMedia: Vulnerabilidad de uso después de liberar memoria que puede causar la terminación inesperada de aplicaciones.
  • CVE-2025-31233 (CVSS 7.5): CoreMedia: Vulnerabilidad similar que afecta al procesamiento de archivos de video, permitiendo la ejecución de código arbitrario.
  • CVE-2025-31208 (CVSS 7.5): CoreAudio: Problema de análisis de archivos que puede provocar la terminación inesperada de aplicaciones.
  • CVE-2025-31209 (CVSS 7.5): CoreGraphics: Lectura fuera de límites en el análisis de archivos que puede revelar información sensible.
  • CVE-2025-31222 (CVSS 7.0): mDNSResponder: Vulnerabilidad que permite la escalada de privilegios a través de la manipulación de servicios de red.
  • CVE-2025-31214 (CVSS 7.0): Baseband: Vulnerabilidad en la gestión del estado que permite la interceptación de tráfico de red en dispositivos iPhone 16e.
  • CVE-2025-31225 (CVSS 6.5): Call History: Exposición de historial de llamadas de aplicaciones eliminadas en los resultados de búsqueda de Spotlight.
  • CVE-2025-31212 (CVSS 6.5): Core Bluetooth: Acceso no autorizado a datos sensibles por parte de aplicaciones a través de la gestión inadecuada del estado.
  • CVE-2025-31219 (CVSS 6.4): FaceTime: Vulnerabilidad en la función de silencio del micrófono que puede permitir la transmisión de audio no deseada.

Recursos afectados

Las siguientes versiones de dispositivos Apple se ven afectadas por estas vulnerabilidades:

• • iPhone: Modelos desde iPhone XS en adelante.
  • iPad: Modelos desde iPad 7ª generación, iPad Air 3ª generación, iPad mini 5ª generación, y todas las versiones de iPad Pro.
  • macOS: Versiones afectadas incluyen macOS Ventura 13.6.8, macOS Sonoma 14.6, y versiones anteriores.
  • watchOS y tvOS: Versiones afectadas incluyen watchOS 10.6 y tvOS 17.6.

Además, se ha identificado una vulnerabilidad en el componente Baseband (CVE-2025-31214) que afecta exclusivamente a los dispositivos iPhone 16e, permitiendo la interceptación de tráfico de red en una posición privilegiada de la red.

Recomendaciones

Los usuarios deben actualizar sus dispositivos a iOS 18.5, iPadOS 18.5 o las versiones correspondientes de macOS, watchOS y tvOS.

Referencias

• • https://www.securityweek.com/apple-patches-major-security-flaws-in-ios-macos-platforms/
  • https://support.apple.com/en-us/122404
  • https://securityaffairs.com/177748/security/apple-released-security-updates-to-fix-multiple-flaws-in-ios-and-macos.html

Google ha publicado el boletín de seguridad de Android de mayo de 2025, en el que corrige un total de 47 vulnerabilidades que afectan a diversas capas del sistema operativo, según ha informado el medio de comunicación CyberScoop.

Entre los fallos solucionados destaca CVE-2025-27363, una vulnerabilidad crítica que afecta al componente del sistema y que ya estaba siendo explotada activamente antes de ser parchada. Esta vulnerabilidad reside en la biblioteca de renderizado de fuentes FreeType, utilizada por Android para gestionar el texto en pantalla. Según Google, la explotación de este fallo permite la ejecución local de código arbitrario sin necesidad de privilegios adicionales ni interacción del usuario, lo que eleva considerablemente su gravedad.

El boletín incluye dos niveles de parches: 2025-05-01 y 2025-05-05, que permiten a los fabricantes de dispositivos Android aplicar las correcciones de forma escalonada. Además de la vulnerabilidad ya explotada, se han solucionado otros fallos relacionados con la escalada de privilegios, divulgación de información, denegación de servicio y ejecución remota de código, repartidos entre los componentes del sistema, el framework, el kernel y los drivers de fabricantes.

Una parte importante de las vulnerabilidades corregidas afectan a chips y controladores de fabricantes como Qualcomm y MediaTek, lo que evidencia la complejidad del ecosistema Android y la necesidad de una coordinación efectiva entre Google y sus socios para distribuir los parches de forma oportuna.

Google recomienda a todos los usuarios mantener sus dispositivos actualizados y aplicar las últimas actualizaciones de seguridad en cuanto estén disponibles. Este tipo de parches no solo corrigen errores, sino que también bloquean vías de ataque que ya están siendo aprovechadas por actores maliciosos, como ha ocurrido con la CVE-2025-27363.

Referencias

• • https://cyberscoop.com/android-security-update-may-2025/
  • https://source.android.com/docs/security/bulletin/2025-05-01?hl=es-419
•