Category: Butlletins

Amb agost arribant a la seua fi i la tornada a la rutina en marxa, és el moment perfecte per a reflexionar sobre com podem protegir la nostra informació en els nostres llocs de treball. Per a això, vos recordem alguns consells sobre seguretat que hem recopilat en el nostre últim butlletí informatiu de ciberseguretat.

Pren nota:

1. Bloqueja la sessió. Quan abandones el teu lloc de treball recorda blocar l’equip. Evitaràs que algú puga accedir-hi durant la teua absència.
2. Utilitza una política de taules netes. No deixes mai damunt de la taula de treball informació delicada que puga ser vista per altres persones.
3. Xifra la informació confidencial. Per a la informació confidencial, utilitza una partició o un directori xifrat que en garantisca la seguretat i confidencialitat.
4. Gestiona de manera segura les contrasenyes. Utilitza contrasenyes que continguen minúscules, majúscules, signes de puntuació, símbols i huit o més caràcters. A més, canvia-les periòdicament. Per a facilitar-ne la gestió, fes ús de gestors de contrasenyes.
5. Xifra els missatges de correu electrònic. En enviar per correu electrònic informació confidencial o especialment crítica, has de xifrar el missatge.

Pots accedir al contingut i descarregar la infografia des del següent enllaç.

Certificació ISO 27001
CSIRT-CV ha renovat la seua certificació ISO 27001, un estàndard internacional que establix els requisits per a un sistema de gestió de seguretat de la informació (SGSI). Este assoliment confirma el compromís de CSIRT-CV amb la protecció i gestió de la informació de manera segura i eficient, que s’alinea amb les millors pràctiques internacionals.

Per a conéixer les iniciatives que du a terme el centre de ciberseguretat per a la millora del servici, accedix al següent enllaç.

Dia del Gamer
Cada 29 d’agost se celebra el Dia Internacional del Gamer per a reconéixer i celebrar la cultura dels videojocs. És una oportunitat per a destacar la importància dels videojocs com a forma d’entreteniment, expressió artística i comunitat, però també per a recordar la necessitat d’aplicar bones pràctiques per a protegir la informació personal, previndre fraus, garantir una experiència de joc segura i protegir els comptes i la inversió dels jugadors, així com promoure una comunitat de joc més saludable i respectuosa sense donar cabuda a qüestions com el ciberassetjament i el comportament tòxic.

Des de CSIRT-CV, et recordem en el següent enllaç 10 consells de ciberseguretat per a gaudir al màxim dels jocs en línia.

Últimes notícies sobre l’incident CrowdStrike
Tots recordem el 19 de juliol, dia en què una actualització defectuosa del programari Falcon de CrowdStrike va deixar sense servici milions d’ordinadors amb sistema operatiu Windows. Este incident va afectar greument diversos sectors a escala global, incloent-hi aeroports, bancs, mitjans de comunicació, hospitals i operadors de telecomunicacions. A Espanya, AENA va ser-ne la companyia més afectada, encara que també va tindre incidència en Correos, Iberdrola o Bizum.

Els servicis de Microsoft que van resultar afectats inclouen PowerBI, Fabric, Teams, el centre d’administració de Microsoft 365, Purview, Defender, Intune, OneNote, OneDrive, SharePoint Online, Windows 365 i Viva Engage.

CrowdStrike va explicar que la causa de l’incident va ser un defecte en l’arxiu de Canal 291, utilitzat pel sensor Falcon per a interpretar l’execució de “canonades de nom”, un mecanisme que permet la comunicació entre sistemes o processos en Windows. L’actualització de la configuració va provocar un error lògic que va derivar en una fallada del sistema operatiu.

Per a solucionar el problema, CrowdStrike va corregir el contingut de l’arxiu i va proporcionar una solució ràpida i detallada per a la recuperació. No obstant això, la recuperació ha sigut lenta en molts casos, la qual cosa ha generat pèrdues estimades en uns 5.400 milions de dòlars per a les empreses afectades.

Per a més informació, vos deixem enllaços a articles en ComputerWorld i El Mundo.

Alertes de seguretat
Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

• • Vulnerabilitat del kernel d’Android. Google ha solucionat esta vulnerabilitat que estava sent explotada en la xarxa. Es recomana aplicar el pedaç d’actualitzacions d’Android amb les versions més recents.
  • Vulnerabilitat crítica en productes Johnson Controls. La vulnerabilitat crítica trobada és CVE-2024-32758 – Fortalesa de xifratge inadequada (CWE-326)-. Això podria ser utilitzat per un atacant per a desxifrar comunicacions i fins i tot enviar una sol·licitud no autoritzada.
  • Vulnerabilitat en Microsoft que exposa els hashes d’NTLM. La vulnerabilitat ha sigut Identificada com a CVE-2024-38200, i és causada per una debilitat de divulgació d’informació que permet a actors no autoritzats accedir a informació protegida.
  • Actualitzacions de seguretat de Microsoft d’agost de 2024. Microsoft publica actualitzacions de seguretat per a corregir 90 vulnerabilitats, incloses 10 vulnerabilitats crítiques de dia zero. Entre les vulnerabilitats corregides hi ha: CVE-2024-38189, CVE-2024-38178, CVE-2024-38107 o CVE-2024-38199.
  • Múltiples vulnerabilitats en Moodle. Moodle ha publicat correccions per a 16 vulnerabilitats, 8 de les quals són crítiques. La seua explotació podria permetre execució de codi remot, accés a la informació i injecció de codi, entre altres.
  • Actualitza Autodesk Revit i AutoCAD per a corregir estes vulnerabilitats. S’han detectat vulnerabilitats de severitat alta en Autodesk Revit, AutoCAD i alguns productes basats en AutoCAD, que podrien permetre a un ciberdelinqüent executar codi maliciós.

En el boletín del mes de julio, os mantenemos informados sobre las últimas vulnerabilidades, consejos y mejores prácticas en materia de ciberseguridad. Nuestro objetivo es seguir concienciando a nuestros suscriptores para que puedan mantener protegidos sus sistemas, datos y equipos ante posibles amenazas cibernéticas durante todo el año, pero especialmente en verano, que es cuando más nos relajamos y dejamos de lado algunas buenas prácticas relacionadas con la seguridad de la información.

Día de los abuelos

Otro año más queremos destacar el día 26 de julio, Día de los Abuelos, desde CSIRT-CV os animamos a enseñar a los más mayores a protegerse de Internet con los siguientes consejos:

• • • • Adviértele para que acepten únicamente solicitudes de amistad de personas conocidas.
      • Instálale un antivirus en el equipo y mantenlo actualizado.
      • Créale contraseñas robustas.
      • Enséñale que existe correos maliciosos, phishing.
      • Recuérdale que el banco nunca te pide credenciales por teléfono o correo.
      • Infórmale que desde wifis públicas no debe realizar operaciones bancarias.
      • Mantéenle las aplicaciones y sistema operativo actualizado.

Puedes descargarte nuestra infografía en el este enlace y ampliar la información del boletín sobre estos consejos básicos sobre Ciberseguridad, tanto si eres parte del público senior como si no, ya que lo importante es prevenir los riesgos a los que se puede enfrentar cualquier usuario de Internet.

Seguridad durante las vacaciones

En CSIRT-CV nos preocupamos de que la seguridad prevalezca durante todo el año. Cuando nos encontremos de vacaciones y no dispongamos de conexión a Internet ilimitada hay que prestar atención al uso de redes abiertas.

A continuación, te presentamos los principales riesgos que supone conectarse a ellas.

• • • • Limpia tu información del navegador.
        • Desactiva la función de autocompletar y la de recordar contraseña.
      • Cierra siempre tus sesiones.
      • Evita hacer operaciones bancarias.
        • Realizar estas operaciones conectada a redes abiertas supone que puedan estar espiando la red y te roben la contraseña.

En CSIRT-CV, hemos preparado una infografía, que puedes descargarte en el siguiente enlace.

Smishing

¿Has recibido un SMS con un enlace?…  ¡CUIDADO, puede ser una estafa!

Desde CSIRT-CV os lanzamos la pregunta de ¿sabes qué es el Smishing?

El smishing es un tipo de ingeniería social en el que los ciberdelincuentes lanzan campañas de phishing por SMS. Estos ciberdelincuentes aprovechan las festividades como el verano para aumentar su actividad utilizando el mensaje de texto como uno de los medios para ello.

A continuación, os dejamos los principales ocho consejos para mantenerte a salvo de este tipo de ataque:

1. 1. 1. 1. Desconfía de remitentes desconocidos.
         2. Sé prudente ante la llegada de cualquier SMS.
         3. Sé escéptico ante los SMS que solicitan acciones inmediatas.
         4. No facilites información bancaria ni personal. Recuerda: las entidades bancarias nunca piden por SMS las claves de acceso ni los datos de las tarjetas.
         5. No hagas clic en los enlaces si no sabes dónde te redirigen.
         6. Bloquea el número de teléfono si no reconoces al emisor.
         7. Comprueba que la empresa es la que dice ser en el SMS llamando al número de teléfono de su web oficial.
         8. Realiza el seguimiento de tus pedidos solo a través de la web o aplicación oficial.

Si alguna vez tienes dudas sobre la autenticidad de un mensaje, es mejor no arriesgarse y buscar información adicional antes de realizar alguna acción como acceder al enlace.

La seguridad y la precaución son fundamentales para protegerse contra posibles fraudes y amenazas en línea.

Además, en CSIRT-CV hemos preparado un video explicativo de cómo combatir el Smishing que puedes encontrar pinchando aquí.

Doble factor de autenticación, 2FA

¿Conoces el doble factor de autenticación, 2FA, como medida adicional de seguridad? Esta herramienta te permite protegerte contra accesos no autorizados y fortalecer la seguridad de tus cuentas online.

En el siguiente enlace, te contamos las diferentes herramientas que existen y sus características para que elijas la más adecuada a tus necesidades.

AvaluaT

Sabes que desde CSIRT-CV proporcionamos una herramienta de autoevaluación, AvaluaT, para que las empresas y pymes puedan averiguar si existen riesgos en ciberseguridad en una organización. En el siguiente enlace puedes acceder a su registro y empezar a utilizarla

Alertas de seguridad

Por último, en nuestro portal de CSIRT-CV puedes encontrar las alertas de seguridad que se publican periódicamente y que pueden ayudarte a mantener tus equipos actualizados y protegidos. A continuación, destacamos las alertas de seguridad más relevantes de este mes:

• • • • 139 Vulnerabilidades en productos de Microsoft: La publicación de 139 actualizaciones de seguridad de Microsoft (con CVE asignado), correspondientes al 10 de julio, consta de cuatro vulnerabilidades críticas, 115 importantes y el resto divididas entre moderadas y bajas.
      • Vulnerabilidad Zero-Day descubierta en Switches Cisco: La vulnerabilidad CVE-2024-20399 fue descubierta por el equipo de seguridad de la firma Sygnia, quien informó a Cisco sobre la explotación de este fallo en sus dispositivos Cisco NX-OS. Esta vulnerabilidad ha sido objeto de atención debido a su gravedad y al impacto potencial en infraestructuras críticas.
      • Apple advierte a usuarios de iPhone de 98 países de ataques de spyware: Apple ha emitido una nueva ronda de notificaciones de amenazas a usuarios de iPhone de 98 países, advirtiéndoles de posibles ataques de spyware mercenario. Es la segunda campaña de alerta de este tipo que realiza la compañía este año, tras una notificación similar enviada a usuarios de 92 países en abril. Desde 2021, Apple viene enviando regularmente estas notificaciones, que llegan a usuarios de más de 150 países, según un documento de soporte publicado en el sitio web de la compañía. Las últimas advertencias, emitidas no revelaron las identidades de los atacantes ni los países en los que los usuarios recibieron las notificaciones.
      • Nueva versión del malware SYS01 que usa anuncios de Facebook para robar contraseñas: Investigadores de Trustwave han observado que cibercriminales promueven descargas gratuitas de juegos y cracks de activación de software con fines maliciosos. Los criminales están haciendo uso de anuncios publicados en la red social Facebook de Meta para infectar equipos con el malware SYS01. Estos anuncios engañan a los usuarios para que descarguen contenido malicioso disfrazado como archivos legítimos. Además, para aumentar la credibilidad y las posibilidades de que un internauta caiga en la trampa, suplantan páginas legítimas que coinciden con el archivo malicioso que se está descargando. Entre otros, se han visto suplantaciones de juegos como Call of Duty: Modern Warfare III y cracks como Sora AI, Photoshop y Microsoft Office.

Te animamos a compartir este boletín con tus colegas, familiares y amigos para promover entre todos una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRTCV).

Comença l’estiu i amb això les vacacions, per això, i abans que molts de vosaltres vos n’aneu de vacacions en juliol, vos portem un nou butlletí en el qual abordem els riscos de la compra d’entrades en revenda i les principals notícies i alertes relacionades amb el món de la ciberseguretat.

Este mes estem de celebració. CSIRT-CV va complir 17 anys el passat 12 de juny i des del seu naixement continuem treballant i conjuminant esforços per a mantindre un espai cibersegur, així com promovent una cultura de seguretat i bones pràctiques en l’ús de les noves tecnologies per a minimitzar els incidents informàtics en la societat.

Per a commemorar esta data, hem llançat una nova campanya de conscienciació titulada #FestivalsSenseFraus Que la teua única preocupació siga l’outfit. Entrades sense estafa!, ja que durant els mesos d’estiu se celebren nombrosos festivals de música i altres esdeveniments a la Comunitat Valenciana i són molts els que recorren a la compra d’entrades en revenda sense ser conscients dels riscos als quals s’exposen.

Preneu nota dels 10 consells de ciberseguretat per a la compra d’entrades en línia.

1. 1. 1. 1. Compreu sempre les entrades en punts oficial:
            • En el següent enllaç vos deixem algunes recomanacions per a abans i després de les vostres compres en línia.
         2. Si al final opteu per comprar una entrada de revenda entre particulars o plataformes no col·laboradores de l’esdeveniment, llegiu les responsabilitats que assumix la plataforma o empresa en què s’adquirixen les entrades. Recordeu que, si és massa bo per a ser veritat, pot ser que siga una estafa.
            • En el següent enllaç vos deixem els drets del consumidor.
         3. Reviseu els comentaris d’altres usuaris per a confiar o desconfiar d’una pàgina si relaten males experiències que ens fan sospitar d’una possible estafa.
         4. Comproveu que l’anunci està escrit correctament i sense faltes d’ortografia o de disseny per a detectar si és fraudulent i ha sigut publicat per robots.
         5. Comuniqueu-vos a través de la plataforma de compravenda mitjançant el xat intern i no mitjançant WhatsApp, correu electrònic o una altra via, perquè tota la conversa quede registrada i, en cas de ser estafats, pugueu presentar-ho com a evidència i garantia.
         6. Desconfieu del venedor de les entrades si únicament vol comunicar-se per correu electrònic o missatgeria instantània
         7. Si el venedor vos facilita el seu número de telèfon, busqueu-lo en Internet per a comprovar si hi ha comentaris d’altres persones que alerten d’una possible estafa.
         8. Feu el pagament a través dels canals oferits per la mateixa plataforma en què s’està fent la compra per a tindre més garanties.
         9. Les transaccions més segures són les que es fan en persona. Si vos demanen un avançament dels diners, intenteu que siga tan baix com siga possible i mai el 100 %.
         10. Si heu sigut víctima d’un frau, denuncieu-lo davant les autoritats i en la plataforma en què s’haja dut a terme l’estafa.
             • En el següent enllaç vos deixem una infografia d’INCIBE de com interposar la denúncia.

Amplieu la informació de la campanya de CSIRT-CV sobre #FestivalsSenseFraus en el següent enllaç

Protegiu-vos del phishing

Com tots sabeu, el phishing està present en el nostre dia a dia. Qui no ha rebut algun correu en el qual se t’espenta a fer una acció immediatament? Hui en dia els ciberdelinqüents es fan passar per una altra persona o entitat per a robar les dades personals o financeres.

Des de CSIRT-CV, hem preparat un vídeo amb consells per a detectar i protegir-vos del phishing.

Sessions de conscienciació en centres educatius

El curs escolar 2023-2024 ha arribat a la seua fi i amb este, les nostres sessions de conscienciació en ciberseguretat. L’IES Beatriu Civera d’Aldaia ha sigut l’últim centre que hem visitat i, com en ocasions anteriors, els alumnes i les alumnes de 1r de Primària van assistir a una xarrada i un taller per a aprendre a fer un ús segur i responsable d’Internet, a més d’aprendre a cuidar la seua identitat digital i de la resta, a protegir els dispositius digitals, contrastar la informació en xarxes socials o aspectes bàsics sobre la convivència en la xarxa basada en el respecte.

Sessió de conscienciació als aspirants del procés selectiu 4/23 del cos superior de sistemes i TIC de la DGTIC

CSIRT-CV, dins del Pla valencià de capacitació (PVC), ha impartit una sessió de conscienciació en ciberseguretat als 44 aspirants del procés selectiu 4/23 del cos superior facultatiu de sistemes i tecnologia de la informació de la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC) per a ampliar la seua formació pràctica, així com els coneixements dels futurs professionals en l’àmbit de la tecnologia.

Esta jornada suposa un exemple del compromís del centre de ciberseguretat amb la formació contínua i la implantació de bones pràctiques amb l’objectiu que els usuaris de la xarxa de la Generalitat estiguen, cada dia, més i millor preparats, i sàpien detectar i reaccionar a temps davant els possibles perills cibernètics que aguaiten l’entorn laboral i personal. Per a més informació de la notícia, accediu al següent enllaç.

Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

• • • • [SCI] Múltiples vulnerabilitats en diversos productes ABB: Una auditoria de programari interna ha identificat 2 vulnerabilitats crítiques que afecten diversos productes d’ABB que usen els sistemes KNX que apliquen l’estàndard KNX Data Secure. Els sistemes KNX que operen en configuracions KNX clàssiques (mode simple) no estan afectats

• • • • Actualitzacions de seguretat de Microsoft (juny 2024): La publicació d’actualitzacions de seguretat de Microsoft, corresponent a la publicació de vulnerabilitats del 12 de juny, consta de 49 vulnerabilitats qualificada una de crítica, que afecta Windows Server Service, i la resta dividides entre severitats importants, moderades i baixes.

• • • • [SCI] Múltiples vulnerabilitats en diversos productes Siemens: Siemens ha publicat en el seu comunicat mensual diverses actualitzacions de seguretat per a alguns dels seus productes. En este comunicat s’han publicat diverses vulnerabilitats que han sigut resoltes en els pedaços i noves versions dels productes. Entre les vulnerabilitats se’n troben tres que són crítiques.

Vos animem a compartir este butlletí amb els vostres col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si teniu cap inquietud sobre ciberseguretat o necessitat de formació en esta àrea, no dubteu a visitar les nostres webs, en què trobareu consells, cursos en línia, informes i molt més contingut: https://csirtcv.gva.es/?lang=va i https://concienciat.gva.es/va/, així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@csirtcv).

Finalitza el mes de maig i tornem amb un nou butlletí de seguretat, en el qual destaquem la celebració del Dia Mundial de la Contrasenya i del Dia d’Internet, la jornada sobre «Fraus digitals» de Tyrius o les sessions de conscienciació en huit centres educatius de la Comunitat Valenciana. Finalment, arrepleguem l’informe d’activitat de CSIRT-CV corresponent a 2023, en el qual la gestió d’incidents s’ha incrementat un 56 per cent respecte a l’any anterior.

Dia Mundial de la Contrasenya

Comencem el 2 de maig amb la celebració del Dia Mundial de la Contrasenya, cita que des de CSIRT-CV aprofitem per a conscienciar la població sobre la importància de protegir les nostres dades. Protegir i blindar la nostra informació suposa minimitzar i evitar ciberatacs que pogueren comprometre informació sensible com són les nostres claus d’accés als nostres comptes bancaris.

A més, des de CSIRT-CV hem elaborat un curs en línia perquè qualsevol usuari aprenga a utilitzar un gestor de contrasenyes: KeePass. Este tipus de ferramentes permeten als usuaris millorar la seguretat en les contrasenyes, creant una nova contrasenya per a cada compte de qualsevol aplicació, limitant-nos a recordar únicament la contrasenya mestra del programa. Per a una major informació sobre la metodologia i el contingut d’este curs punxa en el l’enllaç següent

Dia d’Internet

Des de l’any 2005, el 17 de maig, se celebra el Dia d’Internet a nivell mundial amb l’objectiu de promoure els avantatges i el bon ús d’Internet, ja que cada vegada l’ús de les tecnologies de la informació i la comunicació (TIC) és més intensiu en totes les etapes de la vida. Desde CSIRT-CV recordem la importància de fer un ús segur i responsable d’Internet i per a això, llancem un vídeo, “acostant la ciberseguretat al ciutadà”, en el qual arrepleguem tots els recursos que s’oferixen en matèria de ciberseguretat des del nostre centre que pots visualitzar en l’enllaç següent.

Participació de CSIRT-CV en la jornada sobre «Fraus digitals»

El passat 15 de maig, la cap del Servei de Confiança Digital, Lourdes Herrero, va participar en la jornada sobre «Fraus digitals», organitzada per Tyrius (associació de mestresses i consumidors. Durant la seua intervenció, va explicar en què consistix CSIRT-CV, i també les labors de conscienciació dirigides a tota la societat en general, empreses i Administració pública per a crear una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies. Us deixem diversos enllaços de periòdics on va ser publicada esta notícia: ValenciaNews i elperiòdic.com.

Sessions de conscienciació en centres educatius de la Comunitat Valenciana

Al llarg del mes de maig, CSIRT-CV ha impartit sessions de conscienciació per als estudiants de primer de Secundària de l’IES Las Lagunas, Colegio San José de Calasanz València, Colegio Parroquial Sr. José Lluch i Complejo Educativo Mas Camarena, Escuela Europea, IES Santísimo Cristo de la Fe, IES Riu Túria i IES Benigasló, i també xarrades dirigides als docents i familiars d’estos huit centres educatius.

El principal objectiu d’estes sessions era ensenyar a l’alumnat a fer un ús segur i responsable d’Internet. Durant estes, els menors van rebre informació i consells per a cuidar la identitat digital d’un mateix i de la resta, com actuar davant diferents situacions per a previndre riscos en Internet, com protegir els dispositius digitals, com contrastar la informació en les xarxes socials o aspectes bàsics sobre la pròpia convivència en la xarxa basada en el respecte.

Informe d’activitat de CSIRT-CV de 2023

El Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV) ha publicat el seu informe anual d’activitats, ciberamenaces i tendències, que arreplega l’experiència del centre durant l’any 2023 i l’anàlisi del seu equip de persones expertes en ciberseguretat i ha alertat de la tendència dels ciberdelinqüents a fer ús de la intel·ligència artificial (IA) per a augmentar la seua criminalitat i l’efectivitat dels seus ciberatacs. Pots llegir la notícia completa accedint ací.

La consellera d’Hisenda, Economia i Administració Pública, Ruth Merino, ha valorat la informació traslladada per CSIRT-CV, que ha gestionat en l’últim any un total de 1.788 incidents de seguretat, un 56 per cent més que l’any anterior. A més, cal destacar que el centre ha format al llarg de 2023 a més d’11.000 persones en qüestions de ciberseguretat. Per a ampliar esta informació sobre els resultats de l’informe punxa en l’enllaç següent.

 Alertes de seguretat

Finalment, en el nostre portal de CSIRT-CV pots trobar les alertes de seguretat que es publiquen periòdicament i que poden ajudar-te a mantindre els teus equips actualitzats i protegits. A continuació, destaquem les alertes de seguretat més rellevants d’este mes:

• • • • Vulnerabilitat Zero-Day en Chrome: Dijous passat, 23 de maig, Google va implementar solucions per a abordar una vulnerabilitat de seguretat d’alta gravetat en el seu navegador Chrome que havia sigut explotada.

• • • • Vulnerabilitat d’omissió d’autenticació en GitHub Enterprise Server: GitHub Enterprise Server (GHES) conté una vulnerabilitat de severitat crítica, de tipus omissió d’autenticació, que va ser detectada dins del programa bug bounty del mateix fabricador, l’explotació del qual podria permetre a un atacant falsificar una resposta SAML i obtindre privilegis d’administrador.

• • • • Vulnerabilitats d’execució de codi en iPhones, iPads i macOS: Apple va llançar actualitzacions de seguretat urgents per a abordar múltiples vulnerabilitats en iPhones, iPads i macOS. La companyia també advertix sobre una vulnerabilitat pegada al març que creu que pot haver sigut explotada com un zero-day.

• • • • Vulnerabilitat en les aplicacions de Microsoft 365 i Office: CVE-2024-30040 és una vulnerabilitat d’omissió de característiques de seguretat que afecta a Microsoft 365 i les aplicacions d’Office. Un actor pot enviar un arxiu de Microsoft Office manipulat a l’usuari objectiu, el qual, en ser obert, explota la vulnerabilitat per a executar codi arbitrari. Microsoft va llançar actualitzacions de seguretat per a este problema el passat 14 de maig.

T’animem a compartir este butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en este área, no dudes en visitar nuestras webs donde encontrarás consejos, cursos, informes y mucho más contenido: https://csirtcv.gva.es/ y https://concienciat.gva.es/ así como seguir nuestras redes sociales: Facebook (CSIRT-CV) y X (antiguo Twitter) (@CSIRTCV).