Microsoft Martes de Parches Noviembre
Como es costumbre cada segundo Martes de mes Microsoft publico en su sitio web múltiples avisos de seguridad para mitigar y parchear vulnerabilidad en sus productos.
Este mes de noviembre los avisos sumaron un total de 63 vulnerabilidades de las cuales 29 mitigan fallas de elevaciones de privilegios, 2 omisión de funciones de seguridad, 16 que permiten ejecución remota de código, 11 que divulgan información, 3 que origina denegaciones de servicio y 2 que permiten suplantar identidad. De todas estas vulnerabilidades solo 5 fueron clasificadas como críticas, las cuales serán explicadas a continuación.
CVE-2025-62214
Esta vulnerabilidad afecta al sistema Visual Studio y es originada por neutralizaciones incorrectas en los componentes y agentes que integran la inteligencia artificial con Visual Studio. Esta falla provoca que el agente o más conocido como asistente de IA tenga inconsistencias en su funcionamiento y que procese información con validaciones de seguridad insuficientes, lo que consecutivamente ocasiona inyección de código de forma local.
Microsoft le asigno una puntuación de cssv de 6.7, lo que la convierte en una vulnerabilidad critica. Para la explotación del CVE los atacantes necesitan credenciales validas con pocos privilegios.
CVE-2025-30398
Esta vulnerabilidad está catalogada como de tipo “autorización insuficiente”, lo que significa que el control de acceso no está funcionando correctamente. Esto podría permitir que atores de amenazas vulneren a los sistemas afectados. Los atacantes para la explotación no requieren de credenciales de autentificación lo que convierte el impacto que puede ocasionar en sus víctimas en un riesgo crítico.
Este CVE tiene una puntuación de 8.1, lo que se categoriza como una vulnerabilidad critica, que afecta a el software Nuance PowerScribe 360
CVE-2025-60724
Este CVE afecta al subsistema gráfico de Windows, que es la parte del sistema encargada de mostrar imágenes y elementos visuales en la interfaz gráfica (GUI).
El problema ocurre en GDI+, una librería que Windows usa para manejar gráficos. Cuando GDI+ procesa ciertos archivos de imagen, no valida correctamente el tamaño de los datos antes de copiarlos a memoria. Esto provoca un desbordamiento en el heap, lo que significa que se escriben datos fuera del espacio asignado, abriendo la puerta a que un atacante ejecute código malicioso de forma remota.
CVE-2025-60716
Esta vulnerabilidad afecta al Kernel encargado de manejar la parte grafica del software DirectX, provocando que el funcionamiento correcto presente fallos. Normalmente el Kernel libera un objeto y después elimina la referencia de este en la memoria, pero esta vulnerabilidad ocasiona que no se eliminen las referencias y el sistema siga haciendo referencia al objeto que debería de estar en ese espacio en memoria.
Autores de amenazas podría aprovechar de esta falla conocida como uso después de liberación para manipular el contenido que al que se hace referencia, esto podría permitir que los atacantes escalen privilegios y obtengan privilegios a SYSTEM lo que les permitiría hacer movimientos laterales, volcar credenciales de autentificación y ejecutar código de forma local.
Esto es ocasionado por que el sistema referencia un objeto en memoria que ya había verificado y comprobado su seguridad, pero hay entra el error ya que no se borraron las referencias después de la eliminación y el sistema no valida otra vez el contenido del objeto lo que podría permitir que los autores de amenazas exploten esta falla. Microsoft le asigno una puntuación de CVSS de 7.0 lo que la convierte une vulnerabilidad critica para sistemas que tenga DirectX de uso gratuito.
CVE-2025-62199
Esta vulnerabilidad afecta a productos de uso gratuito de Microsoft Office, y es provocado por una falla conocida como uso después de la liberación que puede permitir que autores de amenazas logren ejecutar código localmente.
Para lograr la explotación de esta vulnerabilidad los atacantes necesitaran engañar a los usuarios para que descarguen y por lo menos abran en vista previa archivos maliciosos. Este CVE tiene asignada una puntuación de CVE de 7.8 lo que la convierte en una vulnerabilidad critica.
Versiones Afectadas
CVE-2025-30398
|
Producto |
Versiones afectadas |
Versiones corregidas |
|
Nuance PowerScribe 360 version 4.0.5 |
4.0.5 |
7.0.243.17 |
|
Nuance PowerScribe 360 version 4.0.8 |
4.0.8 |
7.0.427.13 |
|
Nuance PowerScribe 360 version 4.0.9 |
4.0.9 |
7.0.528.18 |
|
Nuance PowerScribe 360 version 4.0.6 |
4.0.6 |
7.0.277.26 |
|
Nuance PowerScribe 360 version 4.0.7 |
4.0.7 |
7.0.316.9 |
|
Nuance PowerScribe One version 2019.3 |
2019.3 |
2019.3.16.20 |
|
Nuance PowerScribe One version 2019.2 |
2019.2 |
2019.2.9.8 |
|
Nuance PowerScribe One version 2019.1 |
2019.1 |
2019.1.96.5 |
|
Nuance PowerScribe 360 version 4.0.1 |
4.0.1 |
7.0.111.66 |
|
Nuance PowerScribe 360 version 4.0.2 |
4.0.2 |
7.0.154.16 |
|
Nuance PowerScribe 360 version 4.0.3 |
4.0.3 |
7.0.197.8 |
|
Nuance PowerScribe 360 version 4.0.4 |
4.0.4 |
7.0.212.9 |
|
Nuance PowerScribe One version 2019.5 |
2019.5 |
2019.5.14.39 |
|
Nuance PowerScribe One version 2019.4 |
2019.4 |
2019.4.9.16 |
|
Nuance PowerScribe One version 2019.6 |
2019.6 |
2019.6.36.39 |
|
Nuance PowerScribe One version 2019.8 |
2019.8 |
2019.8.43.15 |
|
Nuance PowerScribe One version 2019.7 |
2019.7 |
2019.7.107.21 |
|
Nuance PowerScribe One version 2019.9 |
2019.9 |
2019.9.31.19 |
|
Nuance PowerScribe One version 2019.10 |
2019.1 |
2019.10.36.4 |
|
PowerScribe One version 2023.1 SP2 Patch 7 |
2023.1 |
2023.2.3027.0 |
CVE-2025-60724
|
Producto |
Versiones afectadas |
Versiones corregidas |
|
Microsoft Office LTSC for Mac 2021 |
16.0.1 |
16.103.25110922 |
|
Microsoft Office for Android |
16.0.1 |
16.0.19426.20044 |
|
Microsoft Office LTSC for Mac 2024 |
16.0.0 |
16.103.25110922 |
|
Windows 10 Version 1809 |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2019 |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2019 (Server Core installation) |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2022 |
10.0.20348.0 |
10.0.20348.4405 |
|
Windows 10 Version 21H2 |
10.0.19044.0 |
10.0.19044.6575 |
|
Windows 10 Version 22H2 |
10.0.19045.0 |
10.0.19045.6575 |
|
Windows Server 2025 (Server Core installation) |
10.0.26100.0 |
10.0.26100.7171 |
|
Windows 11 Version 25H2 |
10.0.26200.0 |
10.0.26200.7171 |
|
Windows 11 version 22H3 |
10.0.22631.0 |
10.0.22631.6199 |
|
Windows 11 Version 23H2 |
10.0.22631.0 |
10.0.22631.6199 |
|
Windows Server 2022, 23H2 Edition (Server Core installation) |
10.0.25398.0 |
10.0.25398.1965 |
|
Windows 11 Version 24H2 |
10.0.26100.0 |
10.0.26100.7171 |
|
Windows Server 2025 |
10.0.26100.0 |
10.0.26100.7171 |
|
Windows 10 Version 1607 |
10.0.14393.0 |
10.0.14393.8594 |
|
Windows Server 2016 |
10.0.14393.0 |
10.0.14393.8594 |
|
Windows Server 2016 (Server Core installation) |
10.0.14393.0 |
10.0.14393.8594 |
|
Windows Server 2008 Service Pack 2 |
6.0.6003.0 |
6.0.6003.23624 |
|
Windows Server 2008 Service Pack 2 (Server Core installation) |
6.0.6003.0 |
6.0.6003.23624 |
|
Windows Server 2008 R2 Service Pack 1 |
6.1.7601.0 |
6.1.7601.28021 |
|
Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
6.1.7601.0 |
6.1.7601.28021 |
|
Windows Server 2012 |
6.2.9200.0 |
6.2.9200.25768 |
|
Windows Server 2012 (Server Core installation) |
6.2.9200.0 |
6.2.9200.25768 |
|
Windows Server 2012 R2 |
6.3.9600.0 |
6.3.9600.22869 |
|
Windows Server 2012 R2 (Server Core installation) |
6.3.9600.0 |
6.3.9600.22869 |
CVE-2025-62214
|
Producto |
Versiones afectadas |
Versiones corregidas |
|
Microsoft Visual Studio 2022 |
17.14.0 |
17.14.17 |
CVE-2025-60716
|
Producto |
Versiones afectadas |
Versiones corregidas |
|
Windows 10 Version 1809 |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2019 |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2019 (Server Core installation) |
10.0.17763.0 |
10.0.17763.8027 |
|
Windows Server 2022 |
10.0.20348.0 |
10.0.20348.4405 |
|
Windows 10 Version 21H2 |
10.0.19044.0 |
10.0.19044.6575 |
|
Windows 10 Version 22H2 |
10.0.19045.0 |
10.0.19045.6575 |
|
Windows Server 2025 (Server Core installation) |
10.0.26100.0 |
10.0.26100.7171 |
|
Windows 11 Version 25H2 |
10.0.26200.0 |
10.0.26200.7171 |
|
Windows 11 version 22H3 |
10.0.22631.0 |
10.0.22631.6199 |
|
Windows 11 Version 23H2 |
10.0.22631.0 |
10.0.22631.6199 |
|
Windows Server 2022, 23H2 Edition (Server Core installation) |
10.0.25398.0 |
10.0.25398.1965 |
|
Windows 11 Version 24H2 |
10.0.26100.0 |
10.0.26100.7171 |
|
Windows Server 2025 |
10.0.26100.0 |
10.0.26100.7171 |
CVE-2025-62199
|
Producto |
Versiones afectadas |
Versiones corregidas |
|
Microsoft Office 2016 |
16.0.0 |
16.0.5526.1000 |
|
Microsoft Office LTSC 2021 |
16.0.1 |
https://aka.ms/OfficeSecurityReleases |
|
Microsoft Office LTSC 2024 |
16.0.0 |
https://aka.ms/OfficeSecurityReleases |
|
Microsoft Office for Android |
16.0.1 |
16.0.19426.20044 |
|
Microsoft 365 Apps for Enterprise |
16.0.1 |
https://aka.ms/OfficeSecurityReleases |
|
Microsoft Office LTSC for Mac 2021 |
16.0.1 |
16.103.25110922 |
|
Microsoft Office LTSC for Mac 2024 |
16.0.0 |
16.103.25110922 |
Recomendaciones
-
En caso de contar con alguna de las vulnerabilidades es recomendable actualizar a las versiones parcheadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Security Update Guide - Microsoft Security Response Center. (2025, Noviembre 11). Recuperado el 12 de Noviembre del 2025, en: https://msrc.microsoft.com/update-guide/vulnerability
- Shen, A. (2025, Noviembre 11). Microsoft Patch Tuesday for November 2025 — Snort rules and prominent vulnerabilities. Cisco Talos Blog. Recuperado el 12 de Noviembre del 2025, en: https://blog.talosintelligence.com/microsoft-patch-tuesday-november-2025/
- Abrams, L. (2025, Noviembre 11). Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws. BleepingComputer. Recuperado el 12 de Noviembre del 2025, en: https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/
