Microsoft ha lanzado su actualización mensual de seguridad de septiembre de 2025, abordando un total de 81 vulnerabilidades, incluidas dos de tipo Zero Day que ya estaban siendo explotadas activamente. Los parches de seguridad cubren una amplia gama de software, como Windows, Microsoft Office, Azure y SQL Server. Esta actualización corrige fallas críticas que podrían comprometer la seguridad de los sistemas.
Entre las correcciones se destacan 22 vulnerabilidades de ejecución remota de código (RCE), lo que convierte a esta actualización en una de alta prioridad. Además, se solucionan 8 fallas críticas y 73 vulnerabilidades más clasificadas como de gravedad importante, lo que resalta la importancia de aplicar los parches lo antes posible para mitigar riesgos.
Categorías de las vulnerabilidades abordadas
- 41 vulnerabilidades de elevación de privilegios.
- 2 vulnerabilidades de elusión de características de seguridad.
- 22 vulnerabilidades de ejecución remota de código.
- 16 vulnerabilidades de divulgación de información.
- 3 vulnerabilidades de denegación de servicio.
- 1 vulnerabilidad de Spoofing.
Las dos vulnerabilidades Zero-Day corregidas en este Patch Tuesday son:
- CVE-2025-55234 – Vulnerabilidad de Elevación de Privilegios en Windows SMB: Microsoft corrigió una vulnerabilidad de elevación de privilegios en el servidor SMB, la cual podría ser explotada mediante ataques de retransmisión. Un atacante que explote con éxito esta vulnerabilidad podría realizar ataques de retransmisión y exponer a los usuarios a ataques de elevación de privilegios.
- CVE-2024-21907 – VulnCheck: Manejo Incorrecto de Condiciones Excepcionales en Newtonsoft.Json: Se trata de una vulnerabilidad en el manejo incorrecto de condiciones excepcionales en Newtonsoft.Json antes de la versión 13.0.1, en la cual, los datos manipulados que se pasan al método JsonConvert.DeserializeObject podrían generar una excepción de StackOverflow, lo que resultaría en una denegación de servicio. Dependiendo del uso de la biblioteca, un atacante remoto no autenticado podría provocar esta condición de denegación de servicio.
A continuación, se presentan las vulnerabilidades de severidad crítica abordadas en esta actualización:
| CVE ID | Tipo de Vulnerabilidad |
| CVE-2025-54914 | Vulnerabilidad de Elevación de Privilegios en Azure Networking |
| CVE-2025-55244 | Vulnerabilidad de Elevación de Privilegios en Azure Bot Service |
| CVE-2025-55241 | Vulnerabilidad de Elevación de Privilegios en Azure Entra |
| CVE-2025-55238 | Vulnerabilidad de Divulgación de Información en Dynamics 365 FastTrack |
| CVE-2025-55236 | Vulnerabilidad de Ejecución Remota de Código en Graphics Kernel |
| CVE-2025-55226 | Vulnerabilidad de Ejecución Remota de Código en Graphics Kernel |
| CVE-2025-53800 | Vulnerabilidad de Elevación de Privilegios en Windows Graphics Component |
| CVE-2025-54910 | Vulnerabilidad de Ejecución Remota de Código en Microsoft Office |
| CVE-2025-53799 | Vulnerabilidad de Divulgación de Información en Windows Imaging Component |
| CVE-2025-54918 | Vulnerabilidad de Elevación de Privilegios en Windows NTLM |
| CVE-2025-55224 | Vulnerabilidad de Ejecución Remota de Código en Windows Hyper-V |
| CVE-2025-55228 | Vulnerabilidad de Ejecución Remota de Código en Windows Graphics Component |
| CVE-2025-55242 | Vulnerabilidad de Divulgación de Información en Xbox Certification Bug |
Para verificar y aplicar las actualizaciones de seguridad correspondientes al Patch Tuesday de septiembre del 2025, los usuarios de Windows deben seguir estos pasos:
- Ir a Inicio > Configuración > Actualización de Windows.
- Hacer clic en «Buscar actualizaciones».
- Instalar las actualizaciones disponibles.
Recomendaciones:
- Aplicar las actualizaciones de seguridad lo antes posible para proteger los sistemas de los riesgos potenciales.
- Priorizar la implementación de parches de seguridad, comenzando por las vulnerabilidades críticas y luego las calificadas como importantes.
- Utilizar herramientas de gestión de parches para automatizar la distribución y aplicación de actualizaciones, garantizando así que todos los dispositivos dentro de la organización se mantengan actualizados de manera oportuna y consistente.
Referencias
- https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2023-patch-tuesday-fixes-2-zero-days-59-flaws/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days/
- https://cybersecuritynews.com/microsoft-september-2025-patch-tuesday/