3 min de lectura

Microsoft corrige 620 fallos en un récord de parches de julio

El Patch Tuesday de julio de Microsoft corrigió más de 620 fallos, incluidos 570 errores nuevos y vulnerabilidades explotadas activamente en ADFS y SharePoint.

Imagen: PCWorld

El Patch Tuesday de julio de Microsoft fue sin precedentes: ayer se corrigieron únicamente 570 nuevas vulnerabilidades de seguridad, y desde el inicio del mes se han distribuido más de 620 parches. Eso supera con creces el anterior récord mensual de 206 en junio. El número total de vulnerabilidades de Microsoft corregidas hasta ahora en 2026 ha alcanzado 1.380, superando ya el récord previo de 1.250 de 2020. El próximo Patch Tuesday está programado para el 11 de agosto de 2026.

Más de 400 de las correcciones de este mes afectan versiones compatibles de Windows 10, Windows 11 y Windows Server. Microsoft también amplió recientemente el programa ESU de Windows 10 hasta el 12 de octubre de 2027.

El problema de Windows más urgente que ya se está explotando es CVE-2026-56155, un fallo de alta gravedad de Elevación de Privilegios en Active Directory Federation Services (ADFS). Según el informe, controles de acceso débiles pueden permitir que un atacante obtenga derechos de administrador. Los sistemas afectados incluyen Windows Server 2012 hasta 2025 y compilaciones antiguas de Windows 10 1607 y 1809.

Vulnerabilidades de Windows y Office corregidas en julio

De las 413 vulnerabilidades de Windows que Microsoft abordó, 24 son fallos críticos de Ejecución Remota de Código y siete son errores críticos de Elevación de Privilegios. Ejemplos notables incluyen:

  • CVE-2026-57092 en Hyper-V VMSwitch, una vulnerabilidad Use-After-Free que podría permitir a un atacante con pocos privilegios escapar de un sistema invitado y obtener privilegios elevados en el host
  • CVE-2026-56190 en el Protocolo de Escritorio Remoto (RDP), donde paquetes RDP especialmente diseñados pueden desencadenar ejecución de código mediante memoria mal inicializada
  • CVE-2026-50518 en el servidor DHCP, una de las nueve fallas de DHCP corregidas este mes
  • CVE-2026-56188 en el controlador de red de Windows Server, que puede explotarse con paquetes de datos manipulados en ediciones compatibles de Windows hasta Server 2025

Microsoft también parcheó 97 vulnerabilidades de Office, casi el doble del total de junio, incluidas 17 fallas críticas de RCE. En muchos casos, el panel de vista previa es suficiente para desencadenar el ataque, lo que significa que el usuario no necesita abrir el archivo. Otras 48 vulnerabilidades de RCE pueden explotarse cuando un usuario abre un archivo malicioso de Office.

Recomendado

La IA todavía no reemplazará a los pentesters

SharePoint es una preocupación particular este mes. La vulnerabilidad de Elevación de Privilegios CVE-2026-56164 ya se está explotando activamente y puede atacarse a través de la red sin autenticación del usuario. Microsoft también corrigió CVE-2026-55040, una vulnerabilidad de omisión de funciones de seguridad que puede exponer archivos sin autenticación, además de las críticas RCE de SharePoint CVE-2026-50522 y CVE-2026-58644. En Pwn2Own se mostró una demostración de exploit funcional para CVE-2026-50522.

Parches para Edge, Exchange y juegos

En Exchange Server, Microsoft corrigió cuatro vulnerabilidades, además de una quinta en Exchange Online. Una de ellas, CVE-2026-55008, es un fallo de suplantación (spoofing) originado por cross-site scripting (XSS) que puede ejecutar JavaScript arbitrario en el navegador cuando se abre un correo malicioso en Outlook Web Access.

La última actualización de seguridad de Edge de Microsoft, versión 150.0.4078.65, se lanzó el 9 de julio y se basa en Chromium 150.0.7871.115. Corrige 27 vulnerabilidades de Chromium. PCWorld señala que esas no están incluidas en los totales anteriores, ni las casi 400 fallas de Chromium parcheadas durante la primera semana de julio; si lo estuvieran, la cuenta superaría las 1.000.

Microsoft también emitió correcciones relacionadas con juegos. El fallo RCE del servidor dedicado de Minecraft Bedrock, CVE-2026-55010, ya ha sido parcheado y no requiere más acciones por parte de los administradores de servidores, según Microsoft. Sin embargo, Age of Empires II: Definitive Edition necesita atención: CVE-2026-50663 puede explotarse mediante un archivo de escenario malicioso que engaña a un jugador para que lo abra, potencialmente colocando y ejecutando código malicioso en una ubicación inesperada.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía PCWorld

// Sigue leyendo