iOS 14 целиком попала у руки хакеров, джейлбрейкеров и исследователей

iOS 14 целиком попала у руки хакеров, джейлбрейкеров и исследователей

iOS 14 целиком попала у руки хакеров, джейлбрейкеров и исследователей

У разработчиков Apple сейчас наверняка болит голова из-за утечки исходного кода ещё не вышедшей iOS 14. Сообщается, что доступ к новой версии операционной системы получили исследователи в области кибербезопасности, блогеры и хакеры.

До релиза iOS 14 остаётся ещё около восьми месяцев. Уже мало кого удивишь различными утечками информации, скриншотами и описаниями новых функций, которые так или иначе просачиваются в Сеть на этом этапе.

Однако в этот раз Apple придётся иметь дело с гораздо более серьёзной проблемой — утечкой операционной системы целиком.

Точный источник утечки пока не удалось установить, однако в сообществе любителей джейлбрейка ходят слухи, что некто посторонний смог получить iPhone 11, используемый исключительно разработчиками для тестирования новой версии ОС. На смартфоне якобы была установлена iOS 14, датированная декабрём 2019 года.

Эти же источники утверждают, что третье лицо выкупило устройство для тестирования у вендоров в Китае за «тысячи долларов», после чего это же лицо извлекло полную сборку iOS 14 и разослало её джейлбрейкерам и хакерам.

К слову, изданию 9to5Mac удалось заполучить полный образ готовящейся к выходу операционной системы от Apple. Нашлись и здравомыслящие люди, разославшие сборку исследователям в области кибербезопасности, чтобы последние изучили её на наличие уязвимостей. Если специалисты найдут серьёзные проблемы безопасности, у Apple будет время на их устранение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru