Microsoft ha publicado su actualización de seguridad mensual para junio de 2025, que incluye 66 vulnerabilidades que afectan a una variedad de productos, incluyendo una vulnerabilidad de día cero activamente explotada.
Análisis
En la versión de este mes, Microsoft no ha observado ninguna explotación activa de las vulnerabilidades incluidas.
De las once entradas «críticas», nueve son vulnerabilidades de ejecución remota de código (RCE) en servicios y aplicaciones de Microsoft Windows, como el Servicio de Escritorio Remoto de Microsoft Windows, Windows Schannel (Canal Seguro), el servicio proxy KDC, Microsoft Office, Word y SharePoint Server. Hay dos vulnerabilidades de elevación de privilegios que afectan a Windows NetLogon y Power Automate.
Entre los fallos corregidos se destacan:
CVE-2025-33053 – Vulnerabilidad de ejecución remota de código en WebDAV: Una vulnerabilidad en el componente WebDAV de Windows que permite a un atacante ejecutar código de forma remota si se explota correctamente. Esta vulnerabilidad ya estaba siendo utilizada en ataques antes de la publicación del parche, lo que la clasifica como una vulnerabilidad de día cero.
CVE-2025-47966 – Exposición de información en Power Automate: Una vulnerabilidad que permite a un atacante no autorizado acceder a información sensible en Power Automate, lo que podría conducir a una escalada de privilegios.
Múltiples vulnerabilidades en Microsoft Office: Se corrigieron 17 vulnerabilidades en Microsoft Office y productos relacionados, incluyendo 4 que Microsoft considera más propensas a ser explotadas.
Además de estas, se corrigieron vulnerabilidades en otros productos como Microsoft Edge, .NET, y componentes de Windows.
Recursos afectados
Las actualizaciones cubren fallos, entre otros en:
- Microsoft Windows 10, 11 y Server
- Microsoft Office y Microsoft 365 Apps
- Microsoft Edge
- Power Automate
- .NET Framework
- Windows WebDAV
- Windows Remote Desktop
- Windows Kernel
- Microsoft Defender
Pueden consultar el listado completo de productos afectados y las vulnerabilidades en el boletín oficial de Microsoft: June 2025 Security Updates
Recomendaciones
- Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Referencias
- https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2025-patch-tuesday-fixes-exploited-zero-day-66-flaws
- https://blog.talosintelligence.com/microsoft-patch-tuesday-june-2025
- https://cyberscoop.com/microsoft-patch-tuesday-june-2025
- https://www.securityweek.com/microsoft-patch-tuesday-covers-webdav-flaw-marked-as-already-exploited
- https://hackread.com/june-2025-patch-tuesday-microsoft-bugs-active-0-day
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-junio-de-2025
- https://msrc.microsoft.com/update-guide