Seguridad Informática · 1 min read · Sep 27, 2025
Microsoft corrige 2 vulnerabilidades de día cero explotadas activamente, 61 fallas
Microsoft lanzó el martes su Patch Tuesday de mayo de 2024, que incluye correcciones para 61 vulnerabilidades.
Este Patch Tuesday corrige dos vulnerabilidades de día cero que afectan a Windows MSHTML (CVE-2024-30040) y a la Biblioteca Central del Administrador de Ventanas de Escritorio (DWM) (CVE-2024-30051).
También corrige una vulnerabilidad crítica de Ejecución Remota de Código (RCE) que afecta al Microsoft SharePoint Server (CVE-2024-30044).
Las dos vulnerabilidades de día cero explotadas activamente que Microsoft aborda en la actualización de Patch Tuesday de mayo de 2024 son:
CVE-2024-30040 – Vulnerabilidad de Bypass de Característica de Seguridad de la Plataforma MSHTML de Windows
Según el aviso de Microsoft, esta vulnerabilidad de característica de seguridad elude las mitigaciones OLE en Microsoft 365 y Microsoft Office que protegen a los usuarios de controles COM/OLE vulnerables.
“Un atacante tendría que convencer al usuario de cargar un archivo malicioso en un sistema vulnerable, típicamente mediante un atractivo en un correo electrónico o un mensaje de mensajería instantánea, y luego convencer al usuario de manipular el archivo especialmente diseñado, pero no necesariamente hacer clic o abrir el archivo malicioso”, explica Microsoft en el aviso.
“Un atacante no autenticado que explote con éxito esta vulnerabilidad podría obtener ejecución de código al convencer a un usuario de abrir un documento malicioso, momento en el cual el atacante podría ejecutar código arbitrario en el contexto del usuario”, añadió Microsoft.
CVE-2024-30051 – Vulnerabilidad de Elevación de Privilegios de la Biblioteca Central DWM de Windows
CVE-2024-30051 es una vulnerabilidad de desbordamiento de búfer basado en heap (CWE-122) en la Biblioteca Central del Administrador de Ventanas de Escritorio (DWM) de Windows.
Un atacante puede explotar con éxito esta vulnerabilidad para obtener privilegios de SYSTEM en un sistema objetivo.
No se sabe, y el gigante de Redmond tampoco ha compartido información sobre los ataques que explotan las vulnerabilidades anteriores o quién las descubrió.
Puedes consultar la lista completa de vulnerabilidades abordadas por Microsoft en las actualizaciones de seguridad del Patch Tuesday de mayo de 2024 aquí.
La lista ofrece explicaciones de cada vulnerabilidad y los sistemas que afecta.
Recibe nuevas publicaciones en tu bandeja de entrada.
No spam. Cancela la suscripción en cualquier momento.