آژانس امنیت سایبری و امنیت زیرساخت‌ها (CISA) در مورد سه آسیب‌پذیری بحرانی که محصولات اپل و اوراکل را تحت تأثیر قرار می‌دهند، هشدار فوری صادر کرده است.

این آسیب‌پذیری‌ها که به ترتیب با CVE-2024-44308، CVE-2024-44309 و CVE-2024-21287 شناخته می‌شوند، ممکن است مورد سوءاستفاده قرار گرفته و خطرات جدی امنیت سایبری را برای سازمان‌ها و افراد ایجاد کنند.

نخستین آسیب‌پذیری، CVE-2024-44308، یک نقص اجرای کد در محصولات اپل است. این آسیب‌پذیری چندین محصول اپل از جمله iOS و macOS را تحت تأثیر قرار می‌دهد. مشکل، ناشی از نقصی نامشخص در نحوه پردازش محتوای وب توسط این سیستم‌ها است که ممکن است به مهاجمان امکان اجرای کدهای دلخواه روی دستگاه‌های هدف را بدهد. این موضوع می‌تواند به دسترسی افراد مخرب به اطلاعات حساس یا کنترل کامل سیستم‌های آسیب‌دیده منجر شود. 

آسیب‌پذیری دوم، CVE-2024-44309، یک نقص امنیتی دیگر در محصولات اپل است. این آسیب‌پذیری ممکن است برای انجام حملات XSS مورد سوءاستفاده قرار گیرد. مهاجمان می‌توانند با ایجاد محتوای مخرب وب، اسکریپت‌های مضر را در مرورگر کاربر تزریق کنند که می‌تواند به سرقت اطلاعات، ربودن sessionها یا فعالیت‌های مخرب دیگر منجر شود.

اپل توصیه کرده است کاربران فوراً به‌روزرسانی‌های امنیتی جدید را نصب کنند یا در صورت عدم دسترسی به اصلاحیه‌ها، استفاده از محصولات آسیب‌پذیر را متوقف کنند. 

آخرین آسیب‌پذیری که CISA نسبت به آن هشدار داده، CVE-2024-21287 است. این آسیب‌پذیری در نرم‌افزار Oracle Agile PLM رخ داده و ناشی از نقص در فرآیند تأیید دسترسی در یکی از بخش‌های این نرم‌افزار است. سوءاستفاده از این نقص می‌تواند به افشای فایل‌های غیرمجاز منجر شود و اطلاعات محرمانه تجاری یا شخصی را در معرض خطر قرار دهد.

CISA به سازمان‌ها قویاً توصیه می‌کند که برای رفع این آسیب‌پذیری‌ها به‌سرعت اقدام کنند. عدم انجام اقدامات لازم می‌تواند سیستم‌ها را در معرض سوءاستفاده افراد مخرب قرار دهد. اگرچه هنوز گزارشی از کمپین‌های باج‌افزاری فعال که از این آسیب‌پذیری‌ها سوءاستفاده کنند وجود ندارد، اما خطر این باگ‌های امنیتی جدی توصیف شده است.