Publicado: 2025-07-10 14:00
Vulnerabilidad
Microsoft
Windows Spnego Negociación extendida
Patchtis Day
Entre las vulnerabilidades que fueron corregidas por Microsoft en relación con el día de Patchtis se encuentra una crítica, lo que afecta la función de seguridad de la negociación extendida de Windows Spnego. (1, 2)
La vulnerabilidad CVE-2025-47981 (calificación CVSS 9.8 de 10) puede causar la reposición del búfer (desbordamiento del búfer basado en el montón) en las ventanas SPNEGO extendida la negociación. Si se explota, puede significar que un atacante puede enviar un mensaje especialmente diseñado a un sistema vulnerable sin ninguna interacción del usuario, lo que puede dar lugar a un código remoto de malware remotamente.
Según la propia evaluación de Microsoft, es probable que la vulnerabilidad se use en el futuro cercano. (2)
Productos afectados
Windows 10 (versión 1607 y posterior)
Recomendaciones
CERT-SE recomienda que tan pronto como sea posible actualice productos vulnerables de acuerdo con las instrucciones del proveedor.
Fuentes
(1) https://cert.se/2025/07/patchtisdag-juli-2025-samlad-information-om-manadens-sakerhetsuppdateringar.html
(2) https://msrc.microsoft.com/update-guide/vulnerability/cve-2025-47981