Este mes hemos visto 2 vulnerabilidades críticas de la mayor importancia, especialmente por las plataformas afectadas: Windows y el navegador Chrome. Ambas revisten un alto nivel de riesgo, así que vamos a revisar los detalles de cada una:
CVE‑2025‑33053: Zero‑day en WebDAV de Microsoft
Descripción: Esta es una vulnerabilidad crítica de ejecución remota de código (RCE) en WebDAV (Web Distributed Authoring and Versioning), un componente de Windows que permite editar y administrar archivos en servidores remotos.
Severidad: Ya está siendo explotada activamente en ataques dirigidos y afecta a Windows 10/11 y a Windows Server 2016–2019-2022 que tengan los servicios WebDAV habilitados, por ejemplo, cuando tienes instalado Office 365 y Onedrive y usas Sharepoint. De ahí la alta severidad (CVSS 8.8 Alta).
Riesgo: Basta con que el usuario haga clic en un enlace especialmente diseñado (p. ej., en un correo o sitio web). Esta técnica permite al atacante ejecutar su código sin necesidad de descargar archivos de la primera etapa de la cadena de infección directamente en el ordenador de la víctima. También les ayudó a evadir la detección al usar componentes legítimos y confiables de Windows para ejecutar el ataque.
Qué debo hacer: Es imperativo aplicar inmediatamente los parches de seguridad emitidos por Microsoft el 11 de Junio (KB5060999) para poder corregir esta vulnerabilidad.
CVE20255419: Zeroday en Google Chrome
Descripción: Un vulnerability de corrupción de memoria (tipo use-after-free) en la biblioteca de renderizado de Chrome. Permite ejecución remota de código al visitar una página web especialmente diseñada.
Severidad: CVSS 8.0 (alta) Google ha confirmado que esta vulnerabilidad está siendo explotada en navegadores Chrome para Windows, Mac y Linux anteriores a la versión 126.
Riesgo: Un atacante puede tomar control del sistema si el usuario visita una web maliciosa, solo con que el usuario visite esa página web, sin interacción adicional. Por eso la severidad estimada es CVSS 8.0 (alta).
Qué debo hacer: Actualizar de inmediato el navegador Chrome a la última versión (que al día de hoy es la 137.0.7151.104 Para actualizar, en Google Chrome hacemos click en el menú luego en “Ayuda” y luego en “Información de Google Chrome” y eso activa la actualización del navegador.
Autor:
Javier Orejarena.
Director de arquitectura de soluciones de Colsof.
