El martes de parches de junio supera con creces la marca de los 500 CVE

No tenías otros planes de trabajo para junio, ¿verdad? Microsoft publicó este martes 209 parches que afectan a 24 familias de productos. Microsoft considera que 38 de los problemas solucionados son de gravedad crítica, y los atacantes probablemente explotarán 16 de ellos en los próximos 30 días. Ya existe un CVE adicional relacionado con las revelaciones de Chaotic Eclipse (también conocido como Nightmare Eclipse) de las semanas anteriores. Cuarenta y dos tienen una puntuación CVSS base de 8,0 o superior. Microsoft ya había hecho públicas cuatro a fecha del día del lanzamiento y solo ha confirmado que los atacantes explotan activamente una en la red. Las cifras de la frase anterior resultan algo confusas a la luz (una vez más) del asunto de Chaotic Eclipse, como veremos más adelante.

Si el número de parches te parece abrumador, echa un vistazo al número de avisos: 388 en total. Como siempre, la mayoría están relacionados con Edge, Chrome los ha publicado y los ha parcheado días antes del martes de parches. Adobe publicó veintitrés que afectan a Adobe Reader y ColdFusion. Otras dos agencias de seguridad distintas de Microsoft (concretamente, CERT/CC y Arm Limited) publicaron dos más que afectan a Windows. 

Varias de las incidencias de este mes pueden detectarse directamente mediante las protecciones de Sophos, e incluimos información al respecto en la tabla habitual que aparece a continuación. Estas protecciones incluyen diversos elementos dirigidos a las vulnerabilidades actuales de Chaotic Eclipse y, dado que la situación es volátil en el momento de escribir este artículo, te advertimos de que la lista de la sección «Protecciones de Sophos» puede no reflejar todas las protecciones que estamos ofreciendo a los clientes.

En cifras

• Total de CVE: 209
• Divulgados públicamente: 4
• Ataques detectados: 1
• Gravedad
  • Crítica: 38
  • Importante: 172
• Impacto:
  • Denegación de servicio: 7
  • Elevación de privilegios: 68
  • Divulgación de información: 30
  • Ejecución remota de código: 55
  • Suplantación de identidad: 27
  • Elusión de funciones de seguridad: 19
  • Manipulación: 3
• Puntuación base CVSS de 9,0 o superior: 10
• Puntuación base CVSS de 8,0 o más: 42

Figura 1: en medio del caos del martes de parches de junio, la elusión de medidas de seguridad y la suplantación de identidad están en auge, mientras que la denegación de servicio sigue a la zaga

Productos

• .NET: 3
• ASP.NET: 1
• 365: 29
• Azure: 5
• Bing Search para Android: 1
• Defender: 1
• Dynamics 365: 1
• Edge / Copilot Chat: 1
• Excel: 10
• Exchange: 8
• Live Share Canvas SDK: 1
• Dynamics 365: 1
• Edge / Copilot: 1
• Microsoft Graph: 1
• Microsoft Live Share Canvas SDK: 1
• MMPC*: 1
• Nuance PowerScribe: 1
• Office: 28
• PC Manager: 3
• PowerPoint: 3
• PowerToys: 1
• SharePoint: 30
• Teams para Android: 1
• Visual Studio: 8
• Windows: 119
• Narrador de Windows (braille): 1
• Word: 10

* El contexto no aclara por qué asignaron este CVE a MMPC en lugar de a Defender, pero lo dejamos tal y como nos lo presentaron.

Como solemos hacer en esta lista, contamos cada CVE una vez por cada familia de productos a la que afecta. Por cierto, cabe señalar que los nombres de los CVE no siempre reflejan con exactitud las familias de productos afectadas. En concreto, algunos nombres de CVE de la familia de Office pueden mencionar productos que no aparecen en la lista de productos afectados por el CVE, y viceversa.

Figura 2: en el recuento del martes de parches de junio aparecen veinticuatro familias, incluyendo algunas apariciones inusuales como Windows Narrator Braille, que los usuarios pueden parchear fácilmente actualizando la función a través del menú Configuración → Accesibilidad → Narrador → Usar pantalla Braille → Descargar BRLTTY. Windows, por supuesto, sigue liderando el juego

Figura 3: estamos a mitad de año, llevamos tres meses (más o menos) en la era de la caza de errores con IA, y nos estamos quedando peligrosamente sin píxeles de color para hacer este gráfico

Actualizaciones destacadas de junio

Además de los problemas mencionados anteriormente, hay algunos temas que merecen más atención.

CVE-2020-17103 – Vulnerabilidad de elevación de privilegios en el minicontrolador de filtro de Windows Cloud Files

CVE-2026-41091 – Vulnerabilidad de elevación de privilegios en Microsoft Defender

CVE-2026-45585 – Vulnerabilidad de elusión de la función de seguridad de Windows BitLocker

CVE-2026-45586 – Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON)

Microsoft relaciona estos cuatro CVE con elementos específicos revelados por el investigador de Chaotic Eclipse a principios de este mes; concretamente, se trata de MiniPlasma, RedSun, YellowKey y GreenPlasma. Todos son problemas de gravedad «Importante», y Microsoft considera que dos de ellos (CVE-2026-45585 y CVE-2026-45586) tienen más probabilidades de que los ciberdelincuentes los aprovechen en los próximos 30 días; de hecho, ya se sabe que los atacantes están explotando el CVE-2026-45585 en la red. Los más avispados se darán cuenta de que uno de estos fallos es mucho, mucho, mucho más antiguo que los demás: de hecho, Microsoft ya corrigió el CVE-2020-17103 en diciembre de 2020 tras una divulgación responsable por parte de James Forshaw, de Google Project Zero. Para solucionar los problemas que los investigadores descubrieron recientemente en ese parche, Microsoft recomienda instalar la nueva actualización, aunque seguirá reconociendo a Forshaw como el autor del hallazgo original.

CVE-2026-44812 – Vulnerabilidad de ejecución remota de código en el componente gráfico de Windows

CVE-2026-45456 – Vulnerabilidad de ejecución remota de código en Microsoft Outlook y Word

CVE-2026-45458 – Vulnerabilidad de ejecución remota de código en Microsoft Outlook y Word

CVE-2026-45460 – Vulnerabilidad de divulgación de información en Microsoft Office

CVE-2026-45461 – Vulnerabilidad de ejecución remota de código en Microsoft Office

CVE-2026-45463 – Vulnerabilidad de ejecución remota de código en Microsoft Office

CVE-2026-45472 – Vulnerabilidad de ejecución remota de código en Microsoft Office

CVE-2026-45474 – Vulnerabilidad de ejecución remota de código en Microsoft Office

CVE-2026-47635 – Vulnerabilidad de ejecución remota de código en Microsoft Outlook y Word

Los atacantes pueden explotar las nueve CVE a través del panel de vista previa, así que hay que darles prioridad; pero una de ellas es un poco peculiar. La CVE-2026-44812 (te contaré más sobre esta en un momento) se puede activar al visualizarla en el panel de vista previa del Explorador de archivos, en lugar de en el Outlook. Todas tienen una gravedad «crítica», pero solo se prevé que la CVE-2026-44812 sea explotada en los próximos 30 días. Hablando de esa CVE…

CVE-2026-44803 – Vulnerabilidad de ejecución remota de código en el componente gráfico de Windows

CVE-2026-44812 – Vulnerabilidad de ejecución remota de código en el componente gráfico de Windows

Aquí tienes algo más que no se ve todos los meses: un CVE que afecta tanto al propio Windows como a varios componentes de Office: Excel, PowerPoint y Word. (Y ahora el aspecto relacionado con el Explorador de archivos del CVE-2026-44812 tiene más sentido, ¿verdad?) Ambos son errores de desbordamiento de enteros o de rebote de gravedad «crítica» que Microsoft considera que los atacantes probablemente aprovechen en los próximos 30 días, así que vale la pena darles prioridad.

28 CVE: problemas de Exchange y SharePoint

Dos de los productos de Microsoft más difíciles de actualizar son, como muchos ya saben, los que los administradores suelen gestionar en grupos durante lo que solíamos llamar los meses «más tranquilos», a menos, claro está, que hubiera alguna emergencia. En 2026, la mayor publicación de CVE de la historia incluye más de dos docenas de parches para Exchange o SharePoint. La buena noticia, si es que hay alguna, es que solo dos de los problemas de SharePoint (CVE-2026-45456, CVE-2026-45458) tienen gravedad «crítica», y Microsoft considera que solo dos de los problemas de Exchange (CVE-2026-45481, CVE-2026-47634) resultan más propensos a que los explotadores los aprovechen en los próximos 30 días. 

CVE-2026-41092 – Vulnerabilidad de elevación de privilegios en Microsoft Kinect

Con una puntuación CVSS base de 7,8 y la valoración de que es poco probable que los atacantes aprovechen esta vulnerabilidad en los próximos 30 días, este parche, que afecta a todas las versiones compatibles de Windows para clientes y servidores, probablemente no te quitará el sueño, pero puede que te dé nostalgia por tus viejos juegos de Kinect.

Protecciones de Sophos

Como ya hemos dicho, te advertimos de que, debido a la volatilidad en torno a ciertos temas relacionados con la divulgación, es posible que la tabla anterior no refleje todas las protecciones actualmente en vigor.

Como puedes hacer cada mes, si no quieres esperar a que tu sistema descargue las actualizaciones de Microsoft por sí mismo, puedes descargarlas manualmente desde el sitio web del Catálogo de Windows Update. Ejecuta la herramienta winver.exe para averiguar qué versión de Windows tienes instalada y, a continuación, descarga el paquete de actualización acumulativa correspondiente a la arquitectura y al número de versión de tu sistema.