Apple vá hai lỗ hổng zero-day

Hãng mô tả đây là một “cuộc tấn công cực kỳ tinh vi” nhằm vào những cá nhân cụ thể. Dù Apple không công bố danh tính kẻ tấn công hay nạn nhân, phạm vi ảnh hưởng hạn chế cho thấy nhiều khả năng đây là các chiến dịch kiểu phần mềm gián điệp, thay vì tấn công mạng diện rộng.

Cả hai lỗ hổng đều liên quan đến WebKit, bộ máy trình duyệt đứng sau Safari và toàn bộ các trình duyệt trên iOS. Vì vậy, mức độ rủi ro là rất đáng kể. Trong một số trường hợp, người dùng chỉ cần truy cập vào một trang web độc hại cũng có thể bị tấn công.

Hai lỗ hổng được định danh là CVE-2025-43529 và CVE-2025-14174. Apple xác nhận cả hai đều bị khai thác trong cùng một chuỗi tấn công thực tế. Theo Apple, các lỗ hổng này bị lạm dụng trên những phiên bản iOS phát hành trước iOS 26, và các cuộc tấn công chỉ nhắm đến “những cá nhân cụ thể”.

Apple vừa phát hành các bản cập nhật bảo mật khẩn cấp để vá hai lỗ hổng zero-day đang bị tin tặc khai thác.

CVE-2025-43529 là một lỗ hổng use-after-free trong WebKit, có thể dẫn đến việc thực thi mã tùy ý khi thiết bị xử lý nội dung web được tạo độc hại. Nói đơn giản, kẻ tấn công có thể chạy mã của chúng trên thiết bị bằng cách đánh lừa trình duyệt xử lý sai bộ nhớ. Apple ghi nhận nhóm phân tích mối đe dọa của Google (Google Threat Analysis Group) là bên phát hiện ra lỗ hổng này, chi tiết thường cho thấy dấu hiệu của các hoạt động gián điệp cấp nhà nước hoặc phần mềm theo dõi thương mại.

Lỗ hổng thứ hai, CVE-2025-14174, cũng liên quan đến WebKit, nhưng ở dạng lỗi làm hỏng bộ nhớ. Dù Apple mô tả tác động là hỏng bộ nhớ chứ không trực tiếp thực thi mã, các lỗi kiểu này thường được xâu chuỗi với những lỗ hổng khác để chiếm quyền kiểm soát hoàn toàn thiết bị. Apple cho biết lỗ hổng này được phát hiện bởi Apple phối hợp cùng Google Threat Analysis Group.

Trong cả hai trường hợp, Apple thừa nhận họ đã biết các báo cáo xác nhận việc khai thác đang diễn ra ngoài thực tế. Cách dùng từ này rất quan trọng, bởi Apple thường chỉ sử dụng khi các cuộc tấn công đã thực sự xảy ra, chứ không chỉ dừng ở nguy cơ lý thuyết. Hãng cho biết đã khắc phục lỗi bằng cách cải thiện quản lý bộ nhớ và tăng cường kiểm tra xác thực, song không công bố chi tiết kỹ thuật sâu hơn để tránh bị kẻ xấu lợi dụng.

Apple khuyến cáo người dùng nên cài đặt các bản cập nhật mới nhất.

Apple đã phát hành bản vá trên toàn bộ các hệ điều hành được hỗ trợ, bao gồm iOS, iPadOS, macOS, Safari, watchOS, tvOS và visionOS.

Theo khuyến cáo của Apple, các thiết bị bị ảnh hưởng gồm iPhone 11 trở lên, nhiều thế hệ iPad Pro, iPad Air từ thế hệ thứ ba, iPad thế hệ thứ tám trở lên và iPad mini từ thế hệ thứ năm. Điều này đồng nghĩa với việc phần lớn iPhone và iPad đang được sử dụng hiện nay đều nằm trong diện ảnh hưởng.

Apple đã vá lỗi trên toàn bộ hệ sinh thái của mình. Các bản sửa lỗi có mặt trong iOS 26.2 và iPadOS 26.2, iOS 18.7.3 và iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 và Safari 26.2. Do Apple yêu cầu tất cả trình duyệt trên iOS đều phải sử dụng WebKit, nên Chrome trên iOS cũng chịu ảnh hưởng từ cùng một lỗ hổng nền tảng.

Dưới đây là sáu biện pháp thiết thực giúp bạn an toàn hơn trước các cuộc tấn công zero-day:

1) Cài đặt bản cập nhật ngay khi được phát hành

2) Cẩn trọng với đường link, kể cả từ người quen

3) Sử dụng thiết lập duyệt web theo kiểu “lockdown”

4) Bật chế độ Lockdown nếu bạn cảm thấy có nguy cơ bị tấn công

5) Giảm thiểu thông tin cá nhân bị lộ

6) Chú ý đến những hành vi bất thường của thiết bị

Vũ Ánh