Las actualizaciones de seguridad del martes de parches de Microsoft de julio de 2025 abordan 130 vulnerabilidades en Windows y componentes de Windows, Office y componentes de Office, .NET y Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basado en Chromium) y el servicio criptográfico de Windows.
Análisis
Las vulnerabilidades de severidad criticas son de los siguientes tipos:
- La vulnerabilidad CVE-2025-49719 (puntuación CVSS de 7,5) es un fallo de divulgación de información en Microsoft SQL Server que permite a atacantes remotos no autenticados acceder a memoria no inicializada debido a una validación de entrada incorrecta.
- La vulnerabilidad CVE-2025-47981 (puntuación CVSS de 9,8) es un problema RCE crítico y wormable en Windows SPNEGO NEGOEX. Permite a los atacantes remotos ejecutar código a través de un mensaje malicioso, sin necesidad de interacción por parte del usuario. El fallo implica un desbordamiento de búfer basado en heap y se ejecuta con privilegios elevados. Microsoft espera una explotación activa en un plazo de 30 días e insta a una rápida aplicación de parches.
- La vulnerabilidad CVE-2025-49695 (puntuación CVSS de 8,8) es una vulnerabilidad RCE de Microsoft Office explotable a través del panel de vista previa. Los usuarios de Mac siguen desprotegidos, ya que los parches para Office LTSC 2021 y 2024 aún no están disponibles.
La información detallada para el resto de vulnerabilidades, puede consultarse en las referencias.
Recursos afectados
- SQL Server
- Windows Components
- Office and Office Components
- .NET and Visual Studio
- Windows BitLocker
- Microsoft Edge
Recomendaciones
El fabricante recomienda que el cliente visite el portal de soporte y aplique los parches de forma prioritaria. Además, Microsoft recomienda actualizar SQL Server e instalar OLE DB Driver 18 o 19 para solucionar el problema; y desactivar el panel de vista previa hasta que Microsoft resuelva estos problemas.
Referencias