Producto(s) afectado(s):
- Windows 10 y 11
- Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022 y 2025
Descripción
Se ha reportado una vulnerabilidad criticad en productos Microsoft identificada como CVE-2025-21298, que afecta al componente Object Linking and Embedding (OLE) de Windows, un componente central en el ecosistema de Windows que permite la incrustación y vinculación de objetos entre diferentes aplicaciones. Con un puntaje CVSSv3 de 9.8, esta vulnerabilidad permite la ejecución remota de código (RCE) sin necesidad de autenticación ni interacción del usuario, afectando a múltiples versiones de Windows, incluyendo Windows 10, Windows 11 y varias ediciones de Windows Server.
Esta vulnerabilidad se atribuye a un uso inadecuado de la memoria en OLE, clasificado como «Use After Free» (CWE-416). Esta falla ocurre cuando la memoria asignada a un objeto se libera prematuramente, pero el sistema continúa accediendo a ella. En el contexto de Outlook, esto puede suceder al procesar correos electrónicos maliciosos que contienen objetos incrustados diseñados para explotar esta falla.
La explotación exitosa permite a un atacante ejecutar código arbitrario en el sistema de destino con los mismos privilegios que el usuario afectado. Dado que se trata de una vulnerabilidad de ejecución de código remoto, el ataque puede llevarse a cabo sin interacción significativa por parte de la víctima, simplemente entregando y procesando el correo electrónico malicioso.
Solución
Microsoft ya ha lanzado parches de seguridad como parte de las actualizaciones de enero de 2025, que abordan la falla OLE. Los administradores del sistema y los usuarios deben aplicar estas actualizaciones inmediatamente para reducir el riesgo de explotación. Retrasar esta acción puede dejar los sistemas expuestos a ataques que exploten activamente esta vulnerabilidad.
Para obtener más detalles y acceder a las actualizaciones, visite el Centro de actualizaciones de seguridad de Microsoft también puede acceder al reporte oficial de proveido por Microsoft en el siguiente enlace:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
Información adicional:
- https://ostec.blog/es/generico/cve-2025-21298-vulnerabilidad-de-ejecucion-remota-de-codigo-de-windows-object-linking-and-embedding-ole/
- Critical Windows OLE Vulnerability (CVE-2025-21298) Exposes Systems to Remote Code Execution Threat
- https://www.cibersecurity.io/patch-tuesday-de-enero-de-2025-10-vulnerabilidades-criticas-y-8-zero-day-entre-159-cves/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298