SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

10 jun 2026

Segu-Info » , » Actualizaciones de seguridad de JUNIO para todas las empresas

Actualizaciones de seguridad de JUNIO para todas las empresas

10 jun 2026, 9:00:00 a.m.   Comenta primero!
  ,  

En el Patch Tuesday de junio de 2026, Microsoft public'o actualizaciones de seguridad para 200 fallos y tres vulnerabilidades Zero-Days divulgadas públicamente. Este parche aborda 33 vulnerabilidades "críticas", de las cuales 28 son de ejecución remota de código, 4 de elevación de privilegios y 1 es un fallo de divulgación de información. 

A continuación se muestra el número de errores en cada categoría de vulnerabilidad:

  • 65 Vulnerabilidades de elevación de privilegios
  • 19 Vulnerabilidades de omisión de funciones de seguridad
  • 55 Vulnerabilidades de ejecución remota de códig
  • 30 vulnerabilidades de divulgación de información
  • 7 vulnerabilidades de denegación de servicio
  • 27 vulnerabilidades de suplantación de identidad

Estos fallos no incluye los de Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online y Microsoft Graph, que Microsoft corrigió a principios de este mes.

Además, Google corrigió 360 fallos de Microsoft Edge/Chromium este mes, los cuales tampoco se incluye en este resumen.

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, consulte nuestros artículos dedicados a las Windows 11 KB5094126 & KB5093998 cumulative updates y Windows 10 KB5094127 extended security update..

Vulnerabilidades destacadas

La actualización de seguridad de este mes corrige tres vulnerabilidades de día cero que se habían hecho públicas, ninguna de las cuales se sabe que haya sido explotada en ataques.

  • CVE-2026-45586 - Vulnerabilidad de elevación de privilegios en el Marco de Traducción Colaborativa de Windows (CTFMON) que otorga privilegios de SYSTEM. "La resolución incorrecta de enlaces antes del acceso a archivos (seguimiento de enlaces) en el Marco de Traducción Colaborativa de Windows permite a un atacante autorizado elevar privilegios localmente", explica Microsoft.

Microsoft atribuyó la vulnerabilidad a un investigador anónimo, pero BleepingComputer ha descubierto que se trata de una corrección para la vulnerabilidad de día cero "GreenPlasma", divulgada por el investigador de seguridad Nightmare Eclipse.

GreenPlasma es una vulnerabilidad de escalamiento de privilegios que podría explotarse para obtener una shell con permisos de SYSTEM.

Nightmare Eclipse ha publicado una serie de vulnerabilidades de día cero para Windows, entre ellas BlueHammer, MiniPlasma, RedSun, UnDefend y YellowKey (también corregida hoy), en protesta por la gestión de Microsoft de sus programas de recompensas por detección de errores y divulgación de vulnerabilidades.

  • CVE-2026-49160 - Vulnerabilidad de denegación de servicio en HTTP.sys, conocida como HTTP/2 Bomb, que fue revelada este mes por investigadores de la empresa de seguridad ofensiva Calif. "El consumo descontrolado de recursos en HTTP/2 permite a un atacante no autorizado denegar el servicio en una red", explica Microsoft.

El ataque HTTP/2 Bomb es una técnica de denegación de servicio que aprovecha la forma en que el protocolo HTTP/2 comprime y gestiona las cabeceras del tráfico web, permitiendo a los atacantes enviar cantidades muy pequeñas de datos que obligan a los servidores a asignar cantidades desproporcionadamente grandes de memoria.

Los investigadores descubrieron que el ataque podía aumentar drásticamente el uso de memoria en los servidores afectados. Los atacantes también pueden mantener la memoria ocupada manipulando la configuración de control de flujo, impidiendo que el servidor libere recursos y pudiendo causar problemas de rendimiento o interrupciones del servicio.

Para ayudar a mitigar este ataque, Microsoft ha introducido una nueva configuración de registro llamada "MaxHeadersCount" para limitar la cantidad de encabezados en una solicitud, junto con un boletín de soporte sobre cómo usarla.

Microsoft también introdujo una nueva configuración de registro llamada MaxHeadersCount. Esta configuración permite limitar la cantidad de encabezados incluidos en las solicitudes HTTP/2 y HTTP/3 que acepta el servidor HTTP. Para obtener más información, consulte el artículo KB5102602.

  • CVE-2026-50507 - Vulnerabilidad de omisión de la función de seguridad BitLocker de Windows, previamente divulgada públicamente, que permitía a atacantes locales acceder a una unidad cifrada. "Un fallo en el mecanismo de protección de BitLocker de Windows permite a un atacante no autorizado eludir una función de seguridad mediante un ataque físico", explica Microsoft.

Si bien Microsoft atribuyó la vulnerabilidad a un investigador anónimo, BleepingComputer ha descubierto que se trata de una solución para la vulnerabilidad YellowKey, también divulgada públicamente el mes pasado por el investigador de ciberseguridad Nightmare Eclipse.

La vulnerabilidad YellowKey podía explotarse colocando archivos especialmente diseñados en una unidad USB o partición EFI e iniciando el Entorno de recuperación de Windows (WinRE). Al mantener presionada la tecla CTRL, se activaba una consola de comandos con acceso ilimitado a las unidades cifradas protegidas con BitLocker.

La vulnerabilidad afecta principalmente a los sistemas que utilizan la protección BitLocker solo con TPM en dispositivos Windows 11 y Windows Server 2022/2025. Microsoft ya había compartido soluciones temporales para este problema, como habilitar la autenticación TPM+PIN en lugar de depender únicamente de la protección TPM.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!