Cảnh báo về một lỗ hổng bảo mật rất nguy hiểm trong các sản phẩm của Apple
Mới đây, Apple đã nhanh chóng phát hành bản vá khẩn cấp để khắc phục một lỗ hổng bảo mật zero-day nghiêm trọng trong WebKit, công cụ nền tảng của trình duyệt web Safari và nhiều ứng dụng khác trên các thiết bị của hãng.
Lỗ hổng bảo mật này có thể bị tin tặc khai thác để thực thi mã độc từ xa, tiềm ẩn nguy cơ đánh cắp dữ liệu hoặc kiểm soát thiết bị của người dùng. Apple khuyến cáo tất cả người dùng cập nhật phần mềm ngay lập tức để bảo vệ thiết bị của họ khỏi các mối đe dọa an ninh mạng.
Apple đã cung cấp thêm chi tiết về lỗ hổng bảo mật nghiêm trọng được gán CVE-2025-24201, ảnh hưởng đến WebKit – công cụ hỗ trợ trình duyệt Safari và nhiều ứng dụng khác.
.jpg)
Theo Apple, tin tặc có thể lợi dụng lỗ hổng này để tạo ra các trang web hoặc nội dung web độc hại nhằm vượt qua cơ chế bảo mật quan trọng giúp cô lập các tiến trình duyệt web (Web Content Sandbox).
Nếu khai thác thành công, tin tặc có thể giành quyền truy cập vào các khu vực khác của hệ thống, từ đó thực hiện các hành vi nguy hiểm như đánh cắp dữ liệu hoặc cài đặt mã độc.
Trong thông báo chính thức, Apple nhấn mạnh rằng: "Đây là bản sửa lỗi bổ sung cho một cuộc tấn công đã bị chặn trong hệ điều hành iOS phiên bản 17.2. Chúng tôi đã nhận được báo cáo rằng, lỗ hổng này có thể đã bị khai thác trong một cuộc tấn công có chủ đích, cực kỳ tinh vi nhằm vào một số cá nhân sử dụng các phiên bản trước iOS 17.2".
Lỗ hổng CVE-2025-24201 thuộc loại lỗi bảo mật "ghi ngoài giới hạn" (out-of-bounds write), có nghĩa là dữ liệu có thể bị ghi vào những khu vực không xác định trong bộ nhớ, dẫn đến lỗi hệ thống hoặc tạo điều kiện để kẻ tấn công thực thi mã độc từ xa. Apple đã xử lý vấn đề này bằng cách cải thiện các biện pháp kiểm tra bộ nhớ nhằm ngăn chặn các hành động trái phép.
Hiện tại, chưa có bằng chứng chính thức liên kết cuộc tấn công này với bất kỳ nhóm tin tặc nào. Tuy nhiên, trong quá khứ, các vụ tấn công tinh vi nhằm vào cá nhân cụ thể thường có liên quan đến phần mềm gián điệp tiên tiến, chẳng hạn như Pegasus của công ty NSO Group (Israel).
Bản vá bảo mật hiện đã có sẵn cho nhiều thiết bị của Apple, bao gồm iPhone XS trở lên, máy Mac, iPad, Apple TV, Apple Watch và thiết bị Vision Pro. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản hệ điều hành mới nhất được phát hành trước ngày 11/3/2025.
Người dùng được khuyến nghị cập nhật ngay lên các phiên bản mới nhất, bao gồm visionOS 2.3.2, iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2 và Safari 18.3.1.
Đây cũng là lần thứ 3 trong năm 2025, Apple phát hành bản vá bảo mật khẩn cấp cho nhiều loại thiết bị cùng lúc, cho thấy mức độ nghiêm trọng của lỗ hổng và nỗ lực của công ty trong việc bảo vệ người dùng khỏi các mối đe dọa an ninh mạng.