Adobe y Microsoft han lanzado sus parches de seguridad mensuales, con Adobe abordando 68 vulnerabilidades CVE en varios productos como Commerce, Illustrator y Photoshop. Microsoft lanzó un total sustancial de 107 nuevas vulnerabilidades CVE que afectan a Windows, Office, Edge y otros servicios, el volumen más alto desde 2020. La prioridad para las actualizaciones de Adobe incluye Commerce e InCopy debido a vulnerabilidades críticas. Los parches de Microsoft incluyen varias vulnerabilidades de alta gravedad, como RCE de GDI+ y Componente de gráficos de Windows, que se pueden explotar a través de la navegación web. Microsoft Office vuelve a verse afectado por vulnerabilidades en el panel de vista previa, y SharePoint tiene un RCE crítico similar a los utilizados en ataques recientes. De las soluciones de Microsoft, 12 se califican como Críticas, y la mayoría se califican como Importantes. Existe una vulnerabilidad pública conocida en los lanzamientos de Microsoft, pero ninguna se informa como explotada activamente. Los parches de Adobe no enumeran ninguna vulnerabilidad pública conocida o explotada activamente. Se aconseja a los usuarios que prioricen la aplicación de los problemas críticos identificados por ambos proveedores. Los detalles completos y la recapitulación de la transmisión en vivo están disponibles para su revisión adicional.

Adobe ha lanzado 12 boletines de seguridad que abordan 54 CVEs en varios productos, incluyendo Cold Fusion, After Effects y Photoshop. Ninguno de los errores corregidos por Adobe este mes figura como conocido públicamente o bajo ataque activo. Microsoft ha lanzado parches para 134 CVEs, incluyendo 11 vulnerabilidades críticas y 2 de baja severidad. Uno de los errores, CVE-2025-29824, se está explotando actualmente en el entorno y permite a un actor de amenaza ejecutar código con privilegios de SYSTEM. Otras vulnerabilidades notables incluyen CVE-2025-26663 y CVE-2025-26670, que permiten la ejecución de código remoto a través de LDAP, y CVE-2025-27480 y CVE-2025-27482, que permiten la ejecución de código a través de Servicios de Escritorio Remoto. Microsoft también ha lanzado parches para varios otros productos, incluyendo Office, Azure y .NET. Los parches abordan una variedad de vulnerabilidades, incluyendo elevación de privilegios, ejecución de código remoto y divulgación de información. Solo uno de los errores corregidos por Microsoft este mes figura como conocido públicamente o bajo ataque activo. Se recomienda probar y implementar los parches rápidamente para prevenir posibles ataques.

El Kenwood DMX958XR es una unidad de cabeza de entretenimiento en vehículo (IVI) que admite varias tecnologías, incluyendo USB, Bluetooth, Android Auto, Apple CarPlay y aplicaciones de Kenwood. Este artículo de blog tiene como objetivo delinear la superficie de ataque del DMX958XR para inspirar la investigación de vulnerabilidades. El puerto USB-C de la unidad de cabeza admite Android Auto y Apple CarPlay cableados, y también permite la reproducción de archivos de audio y video desde una unidad flash USB. Se admite Bluetooth versión 5 para realizar y recibir llamadas, y reproducir audio desde un teléfono móvil emparejado. La unidad de cabeza utiliza varios software de código abierto, incluyendo OpenSSL, Cairo y Gstreamer. La aplicación Kenwood Portal permite a los usuarios transferir fotos desde su teléfono móvil a la unidad de cabeza a través de Bluetooth, lo que podría ser una superficie de ataque interesante. La aplicación Kenwood Remote S se conecta a la unidad de cabeza a través de Bluetooth y permite el control multimedia. El firmware del DMX958XR se cubrirá en un futuro artículo de blog. El próximo artículo de la serie detallará el firmware del DMX958XR.

El Kenwood DMX958XR es una unidad de cabeza de infoentretenimiento en vehículo (IVI) compacta que ofrece varias funcionalidades como Android Auto, Apple CarPlay y reproducción de medios USB. Se compone de varias placas interconectadas, con los componentes más interesantes ubicados en la parte superior y inferior de la placa principal. La placa principal incluye un procesador de video, PMIC, memoria flash NAND y dos SDRAM DDR3 en la parte superior, y un módulo de radio Murata, SoC Telechips TCC8974, SDRAM y eMMC en la parte inferior. El SoC Telechips TCC8974 es un núcleo ARM de 32 bits que admite ejecutar Android, Linux y QNX, y cuenta con capacidades de aceleración de hardware multimedia. Otras placas en la unidad sirven para propósitos como GPS, procesamiento de audio y operaciones de cámara. Una interfaz de depuración oculta en la placa principal expone un prompt de inicio de sesión de Linux sobre UART a 115200bps, lo que permite spawnear una shell de root con las credenciales adecuadas. El DMX958XR es uno de los objetivos del próximo concurso Pwn2Own Automotive, que tiene como objetivo probar la seguridad de los sistemas IVI. El concurso se llevará a cabo en enero de 2025 en la conferencia Automotive World en Tokio.

Adobe y Microsoft han lanzado sus actualizaciones programadas para noviembre de 2024. Adobe lanzó ocho parches que abordan 48 vulnerabilidades CVE en varios productos, incluyendo Adobe Bridge, Audition, After Effects y Photoshop. El parche más grande es para Substance 3D Painter con 22 vulnerabilidades CVE críticas e importantes. Ninguna de las vulnerabilidades solucionadas por Adobe este mes están listadas como públicamente conocidas o bajo ataque activo en el momento del lanzamiento. Microsoft lanzó 89 nuevas vulnerabilidades CVE en Windows y componentes de Windows, Office y componentes de Office, Azure y otros productos. Cuatro de los parches tienen una calificación de Crítico, 84 tienen una calificación de Importante y uno tiene una calificación de Moderada en gravedad. Microsoft lista tres de estas vulnerabilidades CVE como públicamente conocidas, pero se informa que cinco son en realidad públicamente conocidas. Dos vulnerabilidades CVE están listadas como explotadas en la naturaleza en el momento del lanzamiento. Las vulnerabilidades CVE que están siendo explotadas en la naturaleza incluyen una vulnerabilidad de divulgación de hash NTLM y una vulnerabilidad de elevación de privilegios en el programador de tareas de Windows. Otras vulnerabilidades CVE notables incluyen una vulnerabilidad de ejecución de código remoto en Kerberos de Windows, que permite a un atacante remoto y no autenticado ejecutar código en un sistema afectado, y una vulnerabilidad de ejecución de código remoto en .NET y Visual Studio, que permite a los atacantes ejecutar código enviando una solicitud especialmente diseñada a una aplicación web .NET afectada. Microsoft también lanzó parches para varios otros productos, incluyendo Azure, SQL Server y Visual Studio. La empresa ha abordado un total de 949 vulnerabilidades CVE hasta ahora este año, lo que convierte a 2024 en su segundo año más grande para soluciones. Se aconseja a los usuarios que prueben y desplieguen las actualizaciones lo antes posible para protegerse contra posibles ataques.

Los investigadores descubrieron múltiples vulnerabilidades en el sistema de unidad maestra de conectividad Mazda Connect (CMU), que afectan modelos como el Mazda 3 desde 2014 hasta 2021. Estas vulnerabilidades se deben a una insuficiente sanitización al manejar la entrada del usuario. Un atacante puede explotar estas vulnerabilidades conectando un dispositivo USB especialmente diseñado, como un iPod, al sistema objetivo. Las vulnerabilidades incluyen inyección de SQL, inyección de comandos y falta de raíz de confianza en hardware.

El último día de Pwn2Own Irlanda ha concluido con un total de $993,625 otorgados, y es probable que se supere la marca de $1,000,000. El equipo Smoking Barrels explotó con éxito el True NAS X utilizando dos bugs previamente vistos, ganando $20,000 y 2 puntos de Master of Pwn. El equipo Cluck, compuesto por Chris Anastasio y Fabius Watson, utilizó seis bugs para explotar el QNAP QHora-322 y el Lexmark CX331adwe, pero uno de los bugs ya había sido visto, lo que resultó en un premio de $23,000 y 9,25 puntos de Master of Pwn. La colisión de bugs hizo que la cantidad total de premios superara la marca de $1,000,000.

La competencia Pwn2Own Irlanda ya ha otorgado $874,875 y tiene 15 intentos restantes, con el potencial de alcanzar la marca de $1,000,000. Ha The Long y Ha Anh Hoang explotaron con éxito el NAS QNAP TS-464 utilizando un solo bug de inyección de comandos, ganando $10,000 y 4 puntos de Maestro de Pwn. Pumpkin Chang y Orange Tsai del Equipo de Investigación DEVCORE también lograron el éxito explotando la BeeStation de Synology con una combinación de bugs, ganando $20,000 y 4 puntos de Maestro de Pwn. Mientras tanto, Sina Kheirkhah y Enrique Castillo del Equipo de Invocación no lograron explotar el Ubiquiti AI Bullet dentro del tiempo asignado.

Pwn2Own Irlanda 2024 está en pleno apogeo, con más de $516,250 otorgados por 50 bugs de día cero únicos descubiertos ayer. Hoy, la competencia continúa con intentos en varios dispositivos, incluyendo teléfonos, cámaras, impresoras y altavoces inteligentes. Se proporcionarán actualizaciones en tiempo real a medida que estén disponibles los resultados. Pham Tuan Son y ExLuck de ANHTUD explotaron con éxito una impresora Canon imageCLASS MF656Cdw utilizando un desbordamiento de pila, ganando $10,000 y 2 puntos de Maestro de Pwn. Ken Gannon de NCC Group explotó con éxito un Samsung Galaxy S24 aprovechando cinco bugs, incluyendo un problema de travesía de ruta, ganando $50,000 y 5 puntos de Maestro de Pwn. dungdm de Viettel Cyber Security explotó con éxito la Sonos Era 300 utilizando un bug de uso después de liberación, ganando $30,000 y 6 puntos de Maestro de Pwn. La competencia sigue en curso, con más intentos programados a lo largo del día.

Pwn2Own Irlanda 2024 ha comenzado, con cuatro días de investigación y múltiples intentos de explotar dispositivos SOHO. El primer día vio un intento exitoso de phudq y namnp de Viettel Cyber Security, quienes explotaron la cámara WiFi Lorex 2K utilizando un desbordamiento de buffer basado en la pila y una referencia de puntero no confiable, ganando $30,000 y 3 puntos de Maestro de Pwn. En contraste, el intento de Can Acar de explotar la cámara Synology TC500 fue infructuoso debido a limitaciones de tiempo. El evento continuará con un calendario completo de intentos, con actualizaciones proporcionadas en tiempo real.

Pwn2Own Irlanda 2024 está destinado a ser uno de los eventos más grandes de la historia, con más de $1.000.000 en premios potenciales. El concurso comenzó con un sorteo al azar para determinar el orden de los intentos. El Día Uno incluye varios equipos que se dirigen a diferentes dispositivos como altavoces inteligentes, impresoras y sistemas de vigilancia. El Día Dos verá a los equipos que se dirigen a la memoria de almacenamiento conectada a la red y las impresoras. El Día Tres se centrará en la vigilancia y la memoria de almacenamiento conectada a la red nuevamente. El Día Cuatro concluirá el concurso con equipos que se dirigen a la memoria de almacenamiento conectada a la red y las impresoras. Los resultados se publicarán en vivo en el blog a medida que se desarrolle el concurso, y los videos destacados se publicarán en las plataformas de redes sociales.