Martes de parches, edición de mayo de 2026

⟫ 12/05/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

La inteligencia artificial está demostrando ser tan susceptible a la ingeniería social como los seres humanos, pero, paralelamente, se ha mostrado excepcionalmente eficaz en la detección de vulnerabilidades de seguridad en el código informático creado por el hombre. Esta realidad se ha evidenciado en mayo, un mes en el que algunas de las empresas de software más utilizadas, como Apple, Google, Microsoft, Mozilla y Oracle, han corregido volúmenes casi récord de fallos de seguridad y han acelerado el ritmo de sus lanzamientos de parches.

Como es habitual en el segundo martes de cada mes, Microsoft ha lanzado actualizaciones de software para abordar al menos 118 vulnerabilidades de seguridad en sus diversos sistemas operativos Windows y otros productos. Sorprendentemente, este es el primer Patch Tuesday en casi dos años en el que Microsoft no ha incluido correcciones para fallos de día cero de emergencia que ya están siendo explotados. Además, ninguna de las vulnerabilidades reparadas en esta ocasión había sido divulgada anteriormente, lo que podría dar a los atacantes una ventaja en la explotación de dichos fallos.

De las vulnerabilidades, dieciséis han recibido la etiqueta más crítica por parte de Microsoft, lo que implica que el malware o los delincuentes cibernéticos podrían abusar de estas fallas para tomar el control remoto de un dispositivo Windows vulnerable con poco o ningún apoyo del usuario. Rapid7 ha llevado a cabo gran parte del trabajo de identificación de algunas de las debilidades críticas más preocupantes de este mes.

El Patch Tuesday de mayo proporciona un respiro bien recibido respecto a abril, cuando Microsoft corrigió un número cercano al récord de 167 fallos de seguridad. Microsoft fue una de las pocas docenas de gigantes tecnológicos que tuvieron acceso a "Project Glasswing", una capacidad de IA muy anunciada desarrollada por Anthropic que parece ser bastante eficaz en la detección de vulnerabilidades de seguridad en el código.

Apple, otro de los primeros participantes en el Project Glasswing, típicamente corrige un promedio de 20 vulnerabilidades cada vez que lanza una actualización de seguridad para dispositivos iOS, según Chris Goettl, vicepresidente de gestión de productos en Ivanti. El 11 de mayo, Apple lanzó iOS 15, que abordó al menos 52 vulnerabilidades y retrotrajo los cambios hasta el iPhone 6s y iOS 15.

El mes pasado, Mozilla lanzó Firefox 150, que resolvió la asombrosa cifra de 271 vulnerabilidades, las cuales se reportaron como descubiertas durante la evaluación de Glasswing. “Desde que se lanzó Firefox 150.0.0, han adoptado un ritmo más agresivo de actualizaciones de seguridad semanalmente, incluyendo el lanzamiento de Firefox 150.0.3 en el Patch Tuesday de mayo, que resolvió entre tres y cinco CVEs en cada lanzamiento”, afirmó Goettl.

Por su parte, Oracle también ha incrementado recientemente su ritmo de parches en respuesta a su trabajo con Glasswing. En su actualización trimestral más reciente, Oracle abordó al menos 450 fallos, incluyendo más de 300 correcciones para vulnerabilidades explotables de forma remota y no autenticada. Al final de abril, Oracle anunció que cambiaría a un ciclo de actualización mensual para los problemas críticos de seguridad.

El 8 de mayo, Google comenzó a desplegar actualizaciones para su navegador Chrome que corrigieron la sorprendente cifra de 127 vulnerabilidades (un aumento notable desde las 30 del mes anterior). Chrome descarga automáticamente las actualizaciones de seguridad disponibles, pero su instalación requiere reiniciar completamente el navegador.

Si experimentas cualquier anomalía al aplicar las actualizaciones de Microsoft o de cualquier otro proveedor mencionado, no dudes en compartirlo en los comentarios a continuación. Mientras tanto, si no has respaldado tus datos y/o tu unidad recientemente, hacerlo antes de actualizar es generalmente un consejo prudente. Para un análisis más detallado de las actualizaciones de Microsoft lanzadas hoy, consulta este inventario del SANS Internet Storm Center.

Este escenario de actualizaciones masivas refuerza la importancia de la ciberseguridad en un mundo cada vez más digitalizado, donde las vulnerabilidades pueden comprometer no solo la integridad de sistemas individuales, sino también la seguridad de grandes infraestructuras y datos personales en un contexto global. La respuesta proactiva de las empresas tecnológicas es un paso crucial para mitigar riesgos y proteger tanto a usuarios individuales como a organizaciones enteras frente a un panorama de amenazas en constante evolución.

◢ VULNERABILIDADES ◣

Patch Tuesday, May 2026 Edition

⟫ 12/05/2026 ⟫ BrianKrebs

Source: Krebs on Security

Artificial intelligence platforms may be just as susceptible to social engineering as human beings, but they are proving remarkably good at finding security vulnerabilities in human-made computer code. That reality is on full display this month with some of the more widely-used software makers — includingApple,Google,Microsoft,MozillaandOracle— fixing near record volumes of security bugs, and/or quickening the tempo of their patch releases. As it does on the second Tuesday of every month, Microsoft today released software updates to address at least 118 security vulnerabilities in its variousWindowsoperating systems and other products. Remarkably, this is the first Patch Tuesday in nearly two years that Microsoft is not shipping any fixes to deal with emergency zero-day flaws that are already being exploited. Nor have any of the flaws fixed today been previously disclosed (potentially giving attackers a heads up in how to exploit the weakness). Sixteen of the vulnerabilities earned Microsoft’s most-dire “critical” label, meaning malware or miscreants could abuse these bugs to seize remote control over a vulnerable Windows device with little or no help from the user.Rapid7has done much of the heavy lifting in identifying some of the more concerning critical weaknesses this month, including: May’s Patch Tuesday is a welcome respite from April, which saw Microsoftfix a near-record 167 security flaws. Microsoft was among a few dozen tech giants given access to a “Project Glasswing,” a much-hyped AI capability developed byAnthropicthat appears quite effective at unearthing security vulnerabilities in code. Apple, another early participant in Project Glasswing, typically fixes an average of 20 vulnerabilities each time it ships a security update for iOS devices, saidChris Goettl, vice president of product management atIvanti. On May 11, Apple shipped iOS 15, which addressed at least 52 vulnerabilities and backported the changes all the way to iPhone 6s and iOS 15. Last month, Mozilla releasedFirefox 150, which resolveda whopping 271 vulnerabilitiesthat were reportedly discovered during the Glasswing evaluation. “Since Firefox 150.0.0 released, they have been on a more aggressive weekly cadence for security updates including the release of Firefox 150.0.3 on May Patch Tuesday resolving between three to five CVEs in each release,” Goettl said. The software giant Oracle likewise recently increased its patch pace in response to their work with Glasswing. In its most recent quarterly patch update, Oracle addressed at least 450 flaws, includingmore than 300 fixes for remotely exploitable, unauthenticated flaws. But at the end of April, Oracle announced it was switching to a monthly update cycle for critical security issues. On May 8, Google started rolling out updates to its Chrome browser thatfixed an astonishing 127 security flaws(up from just 30 the previous month). Chrome automagically downloads available security updates, but installing them requires fully restarting the browser. If you encounter any weirdness applying the updates from Microsoft or any other vendor mentioned here, feel free to sound off in the comments below. Meantime, if you haven’t backed up your data and/or drive lately, doing thatbeforeupdating is generally sound advice. For a more granular look at the Microsoft updates released today, checkoutthis inventoryby theSANS Internet Storm Center.

← VOLVER A CIBERSEGURIDAD