网络安全和基础设施安全局（CISA）就影响苹果和甲骨文产品的三个被主动利用的漏洞发出紧急警告。这些漏洞已被添加到 CISA 的已知漏洞（KEV）目录中，强调了用户立即更新其软件的迫切需要。

其中两个漏洞存在于苹果公司的 WebKit 浏览器引擎中，该引擎是苹果设备上 Safari 和其他浏览器的基础。

• CVE-2024-44308 允许攻击者通过处理恶意网页内容在基于 Intel 的 Mac 上执行任意代码。
• CVE-2024-44309 支持跨站脚本 (XSS) 攻击，可能允许攻击者窃取用户数据或劫持会话。

虽然苹果公司已在其 iOS、iPadOS、macOS、visionOS 和 Safari 的最新安全更新中修补了这些漏洞，但在修补程序发布之前，这些漏洞就已被积极利用，这引起了人们的严重关注。由谷歌威胁分析小组（TAG）发现的这些漏洞可能已被政府支持的行为者或雇佣军间谍软件开发者用于高度针对性的攻击。

第三个漏洞 CVE-2024-21287 影响甲骨文的敏捷产品生命周期管理 (PLM) 框架。该漏洞允许未经认证的攻击者远程泄漏敏感信息。

甲骨文公司在其公告中指出：“该漏洞无需验证即可被远程利用，即无需用户名和密码即可通过网络利用。如果被成功利用，该漏洞可能会导致文件泄露。”

虽然有关利用该漏洞的详细信息仍然很少，但对于使用甲骨文敏捷PLM框架的企业来说，未经授权访问敏感文件的可能性是一个重大问题。

CISA要求采取紧急行动

为应对这些漏洞的积极利用，CISA 已授权联邦文职行政部门 (FCEB) 机构在 2024 年 12 月 12 日前应用必要的补丁。