Apple vá lỗ hổng Zero-Day CVE-2025-43300 trong iOS, iPadOS và macOS bị khai thác

[Starlink]

Apple đã phát hành bản cập nhật bảo mật để giải quyết một lỗ hổng bảo mật ảnh hưởng đến iOS, iPadOS và macOS mà hãng cho biết đang bị khai thác tràn lan.

Lỗ hổng zero-day ghi ngoài giới hạn, được theo dõi với mã hiệu CVE-2025-43300, nằm trong khuôn khổ ImageIO, có thể dẫn đến hỏng bộ nhớ khi xử lý hình ảnh độc hại.

"Apple đã nhận được báo cáo rằng vấn đề này có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể", công ty cho biết trong một thông báo.

Nhà sản xuất iPhone cho biết lỗi này đã được phát hiện nội bộ và đã được khắc phục bằng cách cải thiện tính năng kiểm tra giới hạn. Các phiên bản sau đây giải quyết lỗi bảo mật:

iOS 18.6.2 và iPadOS 18.6.2 - iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên

iPadOS 17.7.10 - iPad Pro 12.9 inch thế hệ thứ 2, iPad Pro 10.5 inch và iPad thế hệ thứ 6

macOS Ventura 13.7.8 - máy Mac chạy macOS Ventura

macOS Sonoma 14.7.8 - máy Mac chạy macOS Sonoma

macOS Sequoia 15.6.1 - máy Mac chạy macOS Sequoia

Hiện tại vẫn chưa rõ ai là kẻ đứng sau các cuộc tấn công và ai có thể là mục tiêu, nhưng nhiều khả năng lỗ hổng này đã được lợi dụng như một phần của các cuộc tấn công có mục tiêu cao.

Với bản cập nhật mới nhất, Apple đã vá tổng cộng bảy lỗ hổng zero-day bị lợi dụng trong các cuộc tấn công thực tế kể từ đầu năm: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 và CVE-2025-43200.

Tháng trước, công ty cũng đã phát hành bản vá cho lỗ hổng bảo mật Safari nằm trong một thành phần mã nguồn mở (CVE-2025-6558) mà Google báo cáo là đã bị khai thác dưới dạng lỗ hổng zero-day trong trình duyệt web Chrome.