Обнаружена критическая уязвимость удалённого выполнения кода в Redis (CVE-2025-49844) с максимальным баллом CVSS 10.0. Проблема связана с ошибкой Use-After-Free, присутствующей в коде около 13 лет, которая позволяет аутентифицированному злоумышленнику выполнить произвольный код на хосте через специально сформированный Lua-скрипт.

Уязвимость затрагивает все версии Redis и представляет особую опасность, учитывая распространённость системы в 75% облачных сред. Атака позволяет получить полный контроль над системой, включая кражу, шифрование данных и перемещение внутри инфраструктуры. Эксплуатация требует лишь отправки вредоносного скрипта, что делает угрозу высокой для публично доступных экземпляров Redis.

• Уязвимость в Redis (CVE-2024-XXXX) позволяет выполнить произвольный код после аутентификации через уязвимость use-after-free в Lua-скриптах.
• Критичность уязвимости (CVSS 10) оспаривается, так как для эксплуатации требуется аутентификация или доступ к Lua-скриптам, что редко встречается в типичных конфигурациях.
• Проблема усугубляется большим количеством экземпляров Redis (десятки тысяч), публично доступных в интернете без настроенной аутентификации.
• Уязвимость существует в коде более десяти лет, исправлена в Redis 8.1.4 и форке Valkey, но многие системы остаются незащищенными.
• Обсуждаются проблемы безопасности по умолчанию в Docker-конфигурациях и необходимость обновления устаревшей версии Lua в проектах.

Уязвимости в реализации аутентификации OAuth в клиентах MCP позволяют удалённое выполнение кода через популярные инструменты вроде Claude Code и Gemini CLI. Злоумышленник может создать вредоносный MCP-сервер, который передаёт клиенту поддельный URL авторизации — при его открытии происходит выполнение произвольного кода на машине пользователя.

Эксплуатация возможна из-за отсутствия проверки URL со стороны клиентов. Уязвимы Cloudflare use-mcp, MCP Inspector и другие реализации. В демонстрации показан запуск калькулятора через Claude Code, но атака может быть расширена до установки бекдоров или вредоносного ПО. Индустрия уже реагирует на обнаруженные уязвимости, внедряя исправления.

• Аналогия MCP-серверов с пакетами (pip/npm), а не с безопасными веб-сайтами; ключевой вопрос — доверие источнику кода, а не самому протоколу.
• Критика безопасности реализации MCP в клиентах (Claude Code/Gemini), приведшей к уязвимостям, но признание оперативного исправления Google.
• Споры о фундаментальной уязвимости MCP к инъекциям через инструменты и невозможности полной защиты от prompt-инъекций.
• Дебаты о необходимости и качестве протокола: одни видят в нём прорывную технологию, другие — небезопасный и избыточный уровень абстракции.
• Акцент на важности доверенных источников (supply chain) и качества кода MCP-серверов, а не на отказе от технологии в целом.

О безопасности iOS 15.8.5 и iPadOS 15.8.5

Этот документ описывает обновления безопасности для iOS 15.8.5 и iPadOS 15.8.5.

Обновления безопасности Apple

Apple не раскрывает информацию об уязвимостях до завершения расследования и выпуска исправлений. Последние обновления перечислены на странице выпусков безопасности Apple.

iOS 15.8.5 и iPadOS 15.8.5

Выпущено 15 сентября 2025 года

ImageIO

Доступно для: iPhone 6s, iPhone 7, iPhone SE (1-го поколения), iPad Air 2, iPad mini (4-го поколения) и iPod touch (7-го поколения)

Влияние: Обработка вредоносного файла изображения может привести к повреждению памяти. Apple известно о сообщениях, что эта уязвимость могла использоваться в целевых атаках.

Описание: Исправлена ошибка записи за пределами границ за счёт улучшенной проверки.

CVE-2025-43300: Apple

Информация о продуктах, не изготовленных Apple, или независимых веб-сайтах предоставляется без рекомендаций. Apple не несёт ответственности за выбор или использование сторонних продуктов.

Опубликовано: 15 сентября 2025 года

• Пользователи отмечают длительную поддержку старых устройств Apple (до 10 лет) в сравнении с ограниченной поддержкой Android-устройств от Google и других производителей.
• Обсуждаются технические причины короткого цикла поддержки Android: ограничения со стороны производителей чипов (Qualcomm) и необходимость интеграции обновлений производителями телефонов.
• Выпуск обновления для устаревших моделей связывают с эксплуатацией уязвимости нулевого дня в целевых атаках государственного уровня, что подчеркивает серьезность угрозы.
• Уточняется, что обновление доступно для широкого списка старых устройств (iPhone 6s, 7, SE, iPad Air 2 и др.), а не только для 10-летнего iPhone 6s.
• Поднимается вопрос о практической пользе обновления для пользователей очень старых устройств, которые могут не устанавливать патчи.
• Отмечается, что современные Android-производители (Google, Samsung) увеличили承诺 срок поддержки до 5-7 лет, что приближается к политике Apple.
• Обсуждается техническая сторона уязвимости: возможность удаленного выполнения кода (RCE) через обработку malicious изображения, часто в связке с уязвимостью в WhatsApp.