Apple tung ra bản cập nhật sau khi phát hiện hai lỗ hổng WebKit bị khai thác

[T-X]

Hôm thứ Sáu, Apple đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS, visionOS và trình duyệt web Safari để khắc phục hai lỗ hổng bảo mật mà hãng cho biết đã bị khai thác trên thực tế, một trong số đó là lỗ hổng tương tự đã được Google vá trong Chrome hồi đầu tuần này.

Các lỗ hổng bảo mật được liệt kê bên dưới:

    CVE-2025-43529 (Điểm CVSS: N/A) - Lỗ hổng sử dụng bộ nhớ sau khi giải phóng (use-after-free) trong WebKit có thể dẫn đến thực thi mã tùy ý khi xử lý nội dung web được tạo ra một cách độc hại.
    CVE-2025-14174 (Điểm CVSS: 8.8) - Một vấn đề về lỗi hỏng bộ nhớ trong WebKit có thể dẫn đến lỗi hỏng bộ nhớ khi xử lý nội dung web được tạo ra một cách độc hại.

Apple cho biết họ nhận thức được rằng những thiếu sót này "có thể đã bị lợi dụng trong một cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể trên các phiên bản iOS trước iOS 26."

Điều đáng chú ý là CVE-2025-14174 là cùng một lỗ hổng mà Google đã phát hành bản vá cho trình duyệt Chrome vào ngày 10 tháng 12 năm 2025. Gã khổng lồ công nghệ này mô tả đây là lỗi truy cập bộ nhớ ngoài phạm vi trong thư viện mã nguồn mở Almost Native Graphics Layer Engine (ANGLE) của công ty, cụ thể là trong trình kết xuất Metal.

Nhóm Kỹ thuật và Kiến trúc An ninh của Apple (SEAR) và Nhóm Phân tích Mối đe dọa của Google (TAG) được ghi nhận là đã phát hiện và báo cáo lỗ hổng này, trong khi Apple ghi nhận TAG là đơn vị tìm ra CVE-2025-43529.

Điều này cho thấy các lỗ hổng này có khả năng đã bị lợi dụng trong các cuộc tấn công phần mềm gián điệp đánh thuê có mục tiêu cao, vì cả hai đều ảnh hưởng đến WebKit, công cụ kết xuất cũng được sử dụng trong tất cả các trình duyệt web của bên thứ ba trên iOS và iPadOS, bao gồm Chrome, Microsoft Edge, Mozilla Firefox và các trình duyệt khác.

Các lỗi đã được khắc phục trong các phiên bản và thiết bị sau:

    iOS 26.2 và iPadOS 26.2 - iPhone 11 trở lên, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ nhất trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 8 trở lên và iPad mini thế hệ thứ 5 trở lên.
    iOS 18.7.3 và iPadOS 18.7.3 - iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ nhất trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên.
    macOS Tahoe 26.2 - Các máy Mac chạy macOS Tahoe
    tvOS 26.2 - Apple TV HD và Apple TV 4K (tất cả các dòng máy)
    watchOS 26.2 - Dành cho Apple Watch Series 6 trở lên
    VisionOS 26.2 - Apple Vision Pro (tất cả các dòng máy)
    Safari 26.2 - Máy Mac chạy macOS Sonoma và macOS Sequoia

Với những bản cập nhật này, Apple hiện đã vá chín lỗ hổng bảo mật zero-day bị khai thác trên thực tế vào năm 2025, bao gồm CVE-2025-24085, CVE-2025-24200, CVE -2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 và CVE-2025-43300.