Microsoft abordó 83 vulnerabilidades que abarcan su amplia cartera de software empresarial y servicios subyacentes en su última actualización de seguridad. El lanzamiento del martes de parches de la compañía no contenía vulnerabilidades de día cero explotadas activamente y seis defectos que describió como más propensos a ser explotados.

El lote de parches del proveedor marca la primera actualización mensual sin un día cero explotado activamente en seis meses.

La «falta de errores bajo ataque activo es un cambio agradable con respecto al mes pasado», cuando Microsoft informó seis vulnerabilidades explotadas activamente, dijo Dustin Childs, jefe de concientización sobre amenazas en la Iniciativa Día Cero de Trend Micro, en un publicación de blog Martes.

Dos vulnerabilidades abordadas este mes: CVE-2026-21262 y CVE-2026-26127 – figuraban como de conocimiento público en el momento de su publicación. “Estos insectos ladran más que muerden”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.

Más de la mitad de los defectos de la actualización de este mes pueden provocar privilegios elevados, y seis de esas vulnerabilidades… CVE-2026-23668, CVE-2026-24289, CVE-2026-24291, CVE-2026-24294, CVE-2026-25187 y CVE-2026-26132 – fueron calificados como más propensos a ser explotados, añadió Narang.

Un defecto de divulgación de información en Microsoft Excel: CVE-2026-26144 — muestra un escenario de ataque que probablemente ocurra con más frecuencia, según Childs. «Un atacante podría usarlo para hacer que el agente Copilot extraiga datos del objetivo», esencialmente convirtiéndolo en una operación sin clic, escribió.

Los investigadores también se centraron en un par de defectos en Microsoft Office con calificaciones CVSS de 8,4: CVE-2026-26110 y CVE-2026-26113 – que los atacantes pueden activar para ejecutar código arbitrario. El plano de vista previa de Microsoft Office puede servir como vector de ataque para ambas vulnerabilidades.

«Las vulnerabilidades de ejecución remota de código en las aplicaciones de Office plantean riesgos importantes para las organizaciones, ya que los documentos se comparten ampliamente por correo electrónico, archivos compartidos y plataformas de colaboración», dijo en un correo electrónico Mike Walters, presidente y cofundador de Action1.

«Si son explotados, los atacantes podrían hacerse con el control de los sistemas de los usuarios, implementar ransomware, robar datos corporativos o moverse lateralmente a través de redes internas», añadió. «Incluso un solo documento malicioso podría comprometer un punto final y dar a los atacantes un punto de apoyo dentro de la organización».

La lista completa de vulnerabilidades abordadas este mes está disponible en Centro de respuesta de seguridad de Microsoft.