Microsoft corrige 206 vulnerabilidades, incluidas tres zero-days críticas
Publicado el
Microsoft ha publicado un conjunto de parches para un total de 206 vulnerabilidades de seguridad, marcando un récord en la cantidad de fallos corregidos en su portafolio de software. De estas vulnerabilidades, 39 han sido clasificadas como críticas y 167 como importantes en cuanto a severidad. El informe destaca 63 fallos de escalada de privilegios, 56 de ejecución remota de código, 30 de divulgación de información, 27 de suplantación, 20 de bypass de características de seguridad, siete de denegación de servicio y tres de manipulación.
Entre los errores más preocupantes se encuentra el CVE-2026-45657, que tiene un CVSS de 9.8. Este fallo de use-after-free afecta al Windows Kernel y podría ser explotado enviando tráfico de red especialmente diseñado a un sistema Windows vulnerable. Microsoft advierte que, si es exitoso, este tipo de ataque permitiría a un atacante ejecutar código con privilegios de sistema sin necesidad de iniciar sesión o interactuar con el usuario.
Otros fallos significativos incluyen: - CVE-2026-47291 (CVSS 9.8): un desbordamiento de enteros en Windows HTTP.sys que permite a un atacante no autorizado ejecutar código a través de la red. - CVE-2026-44815 (CVSS 9.8): un desbordamiento de búfer basado en stack en el Cliente DHCP de Windows, que permite la ejecución de código sin necesidad de credenciales o acción del usuario. Este fallo convierte el tráfico de red en un compromiso total del sistema, lo que podría resultar en el robo de datos y despliegue de malware.
Además, Microsoft ha abordado el CVE-2026-45585 (CVSS 6.8), una vulnerabilidad de bypass de la característica de seguridad BitLocker. Un exploit de prueba de concepto llamado YellowKey fue publicado por un investigador de seguridad el mes pasado. Este fallo permite a un atacante con acceso físico al sistema eludir la encriptación de datos.
Se han reportado varios otros bypass de características de seguridad que también han sido corregidos en esta actualización, lo que demuestra el compromiso de Microsoft con la seguridad de sus sistemas. Por ejemplo, CVE-2026-45586 (CVSS 7.8) es un fallo de escalada de privilegios relacionado con el Windows Collaborative Translation Framework y CVE-2026-49160 (CVSS 7.5) se asocia con vulnerabilidades de denegación de servicio en HTTP.sys. Este último puede causar que un servidor web se caiga en pocos segundos.
Con el creciente número de parches y vulnerabilidades identificadas, Microsoft también ha implementado un nuevo ajuste en el registro llamado MaxHeadersCount para limitar la cantidad de encabezados en las solicitudes HTTP/2 y HTTP/3, ayudando a proteger los sistemas de ataques de denegación de servicio.
La reciente oleada de correcciones refleja una creciente preocupación en el sector de la seguridad cibernética y pone de relieve la importancia de mantener los sistemas actualizados para evitar ser víctimas de exploits que pueden comprometer la seguridad y privacidad de los usuarios.