آژانس امنیت سایبری و امنیت زیرساختها (CISA) در مورد سه آسیبپذیری بحرانی که محصولات اپل و اوراکل را تحت تأثیر قرار میدهند، هشدار فوری صادر کرده است.
این آسیبپذیریها که به ترتیب با CVE-2024-44308، CVE-2024-44309 و CVE-2024-21287 شناخته میشوند، ممکن است مورد سوءاستفاده قرار گرفته و خطرات جدی امنیت سایبری را برای سازمانها و افراد ایجاد کنند.
نخستین آسیبپذیری، CVE-2024-44308، یک نقص اجرای کد در محصولات اپل است. این آسیبپذیری چندین محصول اپل از جمله iOS و macOS را تحت تأثیر قرار میدهد. مشکل، ناشی از نقصی نامشخص در نحوه پردازش محتوای وب توسط این سیستمها است که ممکن است به مهاجمان امکان اجرای کدهای دلخواه روی دستگاههای هدف را بدهد. این موضوع میتواند به دسترسی افراد مخرب به اطلاعات حساس یا کنترل کامل سیستمهای آسیبدیده منجر شود.
آسیبپذیری دوم، CVE-2024-44309، یک نقص امنیتی دیگر در محصولات اپل است. این آسیبپذیری ممکن است برای انجام حملات XSS مورد سوءاستفاده قرار گیرد. مهاجمان میتوانند با ایجاد محتوای مخرب وب، اسکریپتهای مضر را در مرورگر کاربر تزریق کنند که میتواند به سرقت اطلاعات، ربودن sessionها یا فعالیتهای مخرب دیگر منجر شود.
اپل توصیه کرده است کاربران فوراً بهروزرسانیهای امنیتی جدید را نصب کنند یا در صورت عدم دسترسی به اصلاحیهها، استفاده از محصولات آسیبپذیر را متوقف کنند.
آخرین آسیبپذیری که CISA نسبت به آن هشدار داده، CVE-2024-21287 است. این آسیبپذیری در نرمافزار Oracle Agile PLM رخ داده و ناشی از نقص در فرآیند تأیید دسترسی در یکی از بخشهای این نرمافزار است. سوءاستفاده از این نقص میتواند به افشای فایلهای غیرمجاز منجر شود و اطلاعات محرمانه تجاری یا شخصی را در معرض خطر قرار دهد.
CISA به سازمانها قویاً توصیه میکند که برای رفع این آسیبپذیریها بهسرعت اقدام کنند. عدم انجام اقدامات لازم میتواند سیستمها را در معرض سوءاستفاده افراد مخرب قرار دهد. اگرچه هنوز گزارشی از کمپینهای باجافزاری فعال که از این آسیبپذیریها سوءاستفاده کنند وجود ندارد، اما خطر این باگهای امنیتی جدی توصیف شده است.