Microsoft lanzó las actualizaciones de August Patch Martes, que aborda 107 nuevas vulnerabilidades de seguridad en sus productos, sin exploits activos confirmados.
El lanzamiento del martes de agosto de Microsoft introdujo un conjunto integral de actualizaciones de seguridad, reparando un total de 107 vulnerabilidades distintas en varios productos y servicios de Microsoft. Microsoft especificó que ninguna de estas vulnerabilidades identificadas estaba siendo explotada activamente en la naturaleza en el momento del lanzamiento de la actualización. El próximo parche programado el martes para Microsoft es el 9 de septiembre de 2025.
Se encontraron una parte significativa de las vulnerabilidades abordadas, específicamente 67, y posteriormente se fijó en las versiones compatibles del sistema operativo Windows. Estos incluyen Windows 10, Windows 11 y Windows Server. Es importante tener en cuenta que los usuarios de Windows 7 y Windows 8.1 no han recibido actualizaciones de seguridad durante un período prolongado, lo que hace que esos sistemas sean potencialmente vulnerables. Se recomienda actualizar a Windows 11 24h2 para los usuarios de estos sistemas operativos anteriores, siempre que se cumplan los requisitos de su sistema, para garantizar la recepción continua de actualización de seguridad.
Entre las vulnerabilidades críticas identificadas en las ventanas se encuentran CVE-2025-53766 y CVE-2025-50165. CVE-2025-53766 es una falla de ejecución de código remoto (RCE) que afecta la API de la interfaz del dispositivo gráfico, que se utiliza mediante aplicaciones gráficas. CVE-2025-50165 es otra vulnerabilidad de RCE, ubicada en el componente de gráficos de Windows. Explotar cualquiera de estas vulnerabilidades podría permitir que un atacante inyecte y ejecute código arbitrario en un sistema sin requerir la interacción del usuario. Para CVE-2025-53766, simplemente visitar un sitio web especialmente elaborado es suficiente para un ataque. Para CVE-2025-50165, un atacante podría lograr la ejecución del código creando una imagen maliciosa integrada dentro de una página web.
Microsoft también clasificó tres vulnerabilidades dentro de Hyper-V como crítica. CVE-2025-48807 es una vulnerabilidad de RCE que, si se explota, podría habilitar la ejecución del código en el sistema de host desde una máquina virtual invitada. CVE-2025-53781 es una vulnerabilidad de fuga de datos, que potencialmente permite el acceso no autorizado a la información confidencial. CVE-2025-49707 es una vulnerabilidad de falsificación que podría permitir que una máquina virtual se haga pasar por una identidad diferente durante las comunicaciones con sistemas externos.
El servicio de enrutamiento y acceso remoto (RRAS) tenía 12 vulnerabilidades abordadas, todas clasificadas como de alto riesgo. La mitad de ellas eran vulnerabilidades de RCE, mientras que la otra mitad eran vulnerabilidades de fuga de datos. Una vulnerabilidad, CVE-2025-53779 en Kerberos para Windows Server 2025, se había publicado previamente. Esta vulnerabilidad, clasificada como riesgo medio por Microsoft, podría permitir que un atacante obtenga derechos de administrador para dominios en condiciones específicas.
Dentro de la familia de productos de la oficina de Microsoft, se solucionaron 18 vulnerabilidades, incluidas 16 vulnerabilidades de RCE. Cuatro de estas vulnerabilidades de RCE, dos de las cuales están específicamente en Word, fueron designadas como críticas por Microsoft porque la ventana de vista previa sirve como un vector de ataque. Esto significa que un exploit podría ocurrir simplemente mostrando un archivo malicioso en el panel de vista previa, sin que el usuario necesita hacer clic o abrir el archivo. Las vulnerabilidades de la oficina restantes se clasificaron como alto riesgo, por lo general, lo que requiere que el usuario abra un archivo especialmente preparado para que el código de exploit ejecute.
El navegador Edge también recibió actualizaciones de seguridad. La versión 139.0.3405.86 de Edge se lanzó el 7 de agosto, construida en Chromo 139.0.7258.67 e incluyó soluciones para múltiples vulnerabilidades presentes en la base de cromo. Edge for Android, versión 139.0.3405.86, se lanzó ligeramente más tarde e incorporó correcciones para dos vulnerabilidades específicas para el navegador de borde.
