in Celulares

¡Ho, ho, ho! El Patch Tuesday de diciembre ofrece tres días cero

179 Views

¡Ho, ho, ho! El Patch Tuesday de diciembre ofrece tres días cero

La actualización del martes de parches de diciembre de Microsoft aborda tres días cero (CVE-2025-64671, CVE-2025-54100y CVE-2025-62221) pero incluye sorprendentemente pocos parches en total (solo 57). Además de una cantidad inusualmente baja de actualizaciones, Microsoft no ha publicado ninguna actualización crítica para la plataforma Windows este mes. Dicho esto, dados los días cero, recomendamos un calendario de lanzamiento de «Parchear ahora» para Windows y Microsoft Office. No hay actualizaciones para las herramientas de desarrollador este mes y sí un parche menor para Microsoft Exchange Server.

Para ayudar a navegar estos cambios, el equipo de Readiness ha proporcionado una útil infografía que detalla los riesgos de implementar actualizaciones a cada plataforma. (La información sobre otros lanzamientos recientes de Patch Tuesday está disponible aquí).

Problemas conocidos

Microsoft ha publicado una lista más larga de lo habitual de problemas conocidos para diciembre. Centrándose en los problemas procesables que afectan a las versiones posteriores (noUSE), creemos que lo siguiente merece la atención de los ingenieros empresariales:

  • Después de instalar KB5070892 o actualizaciones posteriores, Windows Server Update Services (WSUS) no muestra detalles de errores de sincronización en su informe de errores. Esta funcionalidad se elimina temporalmente para abordar la vulnerabilidad de ejecución remota de código. CVE-2025-59287.
  • Un número muy reducido de usuarios puede notar que el icono de contraseña de la pantalla de inicio de sesión de Windows no está visible. Este ha sido un problema desde la actualización de agosto de 2025. Microsoft ha publicado una reversión de problemas conocidos (KIR) para dirigirse a usuarios profesionales y domésticos. Las implementaciones empresariales deben utilizar un política de grupo actualizada para restablecer la imagen del icono.

Microsoft había lanzado un fuera de banda actualizar (KB5070881) para Windows Server 2025, que se ofreció brevemente a todas las máquinas con Windows Server 2025, independientemente de parche caliente inscripción.

Máquinas que instalaron KB5070881 dejará de recibir actualizaciones de Hotpatch temporalmente y, en su lugar, recibirá actualizaciones de seguridad que requerirán un reinicio. Se espera que este problema se resuelva en la próxima versión básica en enero de 2026.

Revisiones y mitigaciones importantes

Ha habido varias actualizaciones y revisiones de parches anteriores de Microsoft en diciembre. La mayoría de ellos se relacionan con actualizaciones de Chromium (consulte la sección Navegador a continuación). Sin embargo, estas dos revisiones pueden requerir lecturas adicionales y acciones correctivas:

  • CVE-2024-30098: Vulnerabilidad de omisión de la característica de seguridad de los servicios criptográficos de Windows. Aunque Microsoft hace referencia a esta revisión de actualización como una actualización de la documentación, una versión anterior identificó incorrectamente al proveedor de claves administradas. Esto podría haber provocado fallos en la autenticación de tarjetas inteligentes. Si ha experimentado este tipo de problema desde octubre, Microsoft ha publicado una nota informativa (KB5073121) sobre cómo detectar y resolver este tipo de problemas.
  • CVE-2025-60710: Vulnerabilidad de elevación de privilegios en el proceso del host para tareas de Windows. Esta revisión de parche afecta a todas las versiones compatibles de Windows. Antes de actualizar, Microsoft sugiere que desactive la Recordar característica. Habilite esta función solo una vez que haya parcheado su sistema con esta última actualización.

Actualizaciones de aplicación y ciclo de vida de Windows

Los certificados de arranque seguro de Microsoft utilizados por la mayoría de los dispositivos Windows están configurados para expirara partir de junio de 2026. Esto podría afectar la capacidad de ciertos dispositivos personales y comerciales para iniciarse de forma segura si no se actualizan a tiempo. Hay mucho tiempo: estás advertido.

Cada mes, el equipo de Readiness analiza las últimas actualizaciones de Patch Tuesday de Microsoft y proporciona orientación de prueba detallada y práctica. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis integral de los parches de Microsoft y su impacto potencial en las plataformas Windows y las implementaciones de aplicaciones.

Para este ciclo de lanzamiento de Microsoft de diciembre de 2025, hemos agrupado las actualizaciones críticas y los esfuerzos de prueba necesarios en diferentes áreas funcionales.

Archivos en la nube y proveedores de sincronización

Las organizaciones que utilizan OneDrive, sincronización de SharePoint o proveedores de almacenamiento en la nube de terceros deben validar la conectividad raíz de sincronización y los flujos de trabajo de hidratación de archivos. Las pruebas deben cubrir escenarios de conexión y desconexión de raíz de sincronización, incluida la hidratación/deshidratación, reinicios de clientes, actualizaciones de clientes, bloqueos inesperados de clientes, flujos de desvinculación/revinculación de cuentas y escenarios multiusuario.

Windows Sandbox y virtualización

Los componentes de virtualización de almacenamiento y kernel recibieron actualizaciones que afectan la funcionalidad de Windows Sandbox. Las organizaciones que utilizan Sandbox para pruebas de aplicaciones o navegación aislada deben instalar y habilitar Windows Sandbox, configurar asignaciones de carpetas mediante archivos de configuración y validar que las carpetas asignadas sean accesibles y que las operaciones básicas de archivos (crear, modificar, eliminar) funcionen correctamente.

Mosaicos de usuario del menú Inicio

La interfaz de usuario de User Tiles del menú Inicio recibió actualizaciones este mes. Las pruebas deben validar la representación de la interfaz de usuario (visualización correcta, alineación, imágenes de perfil), funcionalidad (acciones de clic, estados de desplazamiento, navegación con el teclado), actualizaciones dinámicas (los cambios de perfil se reflejan inmediatamente), manejo de errores (datos de perfil faltantes o dañados) y rendimiento (sin retrasos ni fallas durante el cambio de usuario).

La versión de diciembre de 2025 se centra en la estabilidad y no contiene componentes de alto riesgo. El esfuerzo de prueba debe centrarse en los flujos de trabajo de sincronización de archivos en la nube para usuarios de OneDrive/SharePoint, la asignación de carpetas de Windows Sandbox para entornos de virtualización y los mosaicos de usuario del menú Inicio para organizaciones con estaciones de trabajo multiusuario. Esta versión más ligera brinda la oportunidad de completar la aplicación de parches antes de que se congelen los cambios corporativos de fin de año.

Actualizaciones por familia de productos

Cada mes, dividimos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • oficina de microsoft
  • Microsoft Exchange y SQL Server
  • Herramientas de desarrollo de Microsoft (Visual Studio y .NET)
  • Adobe (si llegas hasta aquí)

Navegadores

Microsoft ha lanzado una única actualización para Microsoft Edge (CVE-2025-62223) y otras 13 actualizaciones basadas en Chromium con esta versión de diciembre. Una de las cosas “interesantes” de este mes es que Microsoft lanzó un parche para Microsoft Edge en la plataforma Apple Mac. Es posible que tengamos que empezar a incluir Mac en nuestro régimen de pruebas si Microsoft continúa así. Agregue estos cambios de navegador de bajo perfil a su calendario de lanzamiento estándar.

Windows

Deberíamos comenzar esta sección con un anuncio importante: no hay parches con calificación crítica para Windows este diciembre. Este es un logro increíble para Microsoft.

Las siguientes áreas de productos se han actualizado con 38 parches considerados importantes para este ciclo de parches de diciembre de 2025:

  • Mini filtro de archivos en la nube de Windows, VSPintermediación y sistema de archivos resistente de Windows (ReFS)
  • Win32k, DWM y DirectX Núcleo de gráficos
  • Sistema de archivos de registro común de Windows
  • Administrador de conexión de acceso remoto de Windows
  • Servicio de enrutamiento y acceso remoto de Windows (RRAS)
  • Instalador de Windows y PowerShell
  • Microsoft Hyper-V
  • Códecs de cámara y shell de Windows

Desafortunadamente, tenemos tres días cero debido a la explotación reportada y la divulgación pública (CVE-2025-64671, CVE-2025-54100y CVE-2025-62221) que afectan a GitHub, PowerShell y el minicontrolador de Windows, respectivamente. Agregue estas actualizaciones a su calendario de lanzamiento de Windows “Parchear ahora” (sí, aunque Microsoft no las considera críticas).

oficina de microsoft

El verdadero foco de las pruebas de este mes debería estar en Microsoft Office, con Microsoft lanzando cuatro actualizaciones críticas y otros 12 parches para la suite de productividad de Microsoft Office. Las actualizaciones críticas de este mes afectan a Microsoft Word, Excel y SharePoint con vulnerabilidades de ejecución remota de código. Agregue estas actualizaciones de Microsoft Office a su programa «Parchear ahora».

Microsoft Exchange y SQL Server

Microsoft ha lanzado dos actualizaciones (CVE-2025-64667 y CVE-2025-64666) a Exchange Server este mes, ambos calificados como importantes por Microsoft y que requieren un reinicio del servidor.

Agregue estas actualizaciones a su programa de actualización de servidor estándar.

Herramientas de desarrollador

Microsoft no ha publicado ninguna actualización para las plataformas .NET o Visual Studio este mes. Disfrute del respiro.

Adobe (y actualizaciones de terceros)

Es atrás! Adobe Reader ha vuelto a funcionar este mes (APSB25-119) con una serie de actualizaciones críticas para el generador de PDF elegido. Hemos estado observando actualizaciones recientes y rápidas de Reader este mes, con la esperanza de no tener ninguna más antes del bloqueo de control de cambios empresarial comúnmente adoptado el próximo viernes.

El equipo de Preparación espera que la próxima semana no sea demasiado apresurada con cambios de último momento y que todos tengan un merecido descanso durante el período de vacaciones.

Fuente

Anuncio de servicio público: iOS 26.2 activa las actualizaciones automáticas de software para algunos usuarios
Vístete como Harry Potter en Fortnite este mes.

Se revela la colaboración de Harry Potter de Fortnite que te permite vestirte como un mago