Apple đã phát hành các bản vá bảo mật mới cho iOS 26.1 và iPadOS 26.1 vào ngày 3 tháng 11 năm 2025. Các cập nhật bản vá này mang đến các bản sửa lỗi quan trọng cho một loạt các lỗ hổng CVE đã được xác định.

Bản cập nhật hiện có sẵn cho các mẫu iPhone 11 và các phiên bản mới hơn. Ngoài ra, nó cũng hỗ trợ một số mẫu iPad, bao gồm iPad Pro (thế hệ thứ 3 trở lên), iPad Air (thế hệ thứ 3 trở lên), iPad (thế hệ thứ 8 trở lên), và iPad mini (thế hệ thứ 5 trở lên).

Các bản vá bảo mật này giải quyết hiệu quả nhiều vấn đề bảo mật nghiêm trọng. Những vấn đề này có thể cho phép các ứng dụng độc hại thu được quyền truy cập trái phép vào dữ liệu nhạy cảm. Hoặc chúng có thể vượt qua các cài đặt quyền riêng tư đã được thiết lập. Thậm chí, một số lỗ hổng có thể gây ra sự mất ổn định đáng kể cho hoạt động của thiết bị.

Apple đã ghi nhận công lao của một số nhà nghiên cứu độc lập và đội ngũ bảo mật. Những đóng góp của họ đã giúp phát hiện và báo cáo các điểm yếu này, góp phần vào việc tạo ra các cập nhật bản vá kịp thời.

Khắc phục Các Lỗ hổng Nghiêm trọng trong Apple Neural Engine

Một trong những khắc phục đáng chú ý nhất liên quan đến thành phần Apple Neural Engine. Cụ thể, các lỗ hổng CVE được xác định là CVE-2025-43447 và CVE-2025-43462 đã được giải quyết triệt để thông qua các bản vá bảo mật này.

Trước khi có các cập nhật này, các lỗ hổng CVE trên có thể bị khai thác. Chúng cho phép các ứng dụng độc hại gây ra sự cố hệ thống bất ngờ. Hoặc thậm chí làm hỏng bộ nhớ kernel, dẫn đến các vấn đề nghiêm trọng về ổn định và bảo mật.

Để ngăn chặn các vấn đề này, Apple đã triển khai các cải tiến đáng kể. Đặc biệt, việc xử lý bộ nhớ đã được tối ưu hóa và tăng cường. Điều này đảm bảo rằng các tác nhân độc hại không thể lợi dụng Apple Neural Engine để thực hiện các cuộc tấn công.

Cải thiện Bảo mật Tính năng Apple Account với Các Bản vá Mới

Một bản sửa lỗi quan trọng khác ảnh hưởng đến tính năng Apple Account. Lỗ hổng được khắc phục mang mã định danh CVE-2025-43455. Đây là một phần thiết yếu trong chuỗi các cập nhật bản vá mới.

Trước đây, một ứng dụng độc hại có thể lợi dụng lỗ hổng CVE này. Chúng có khả năng chụp ảnh màn hình của các khung nhìn nhúng. Các khung nhìn này thường chứa thông tin cá nhân và nhạy cảm của người dùng, làm lộ dữ liệu quan trọng.

Để giảm thiểu rủi ro này, Apple đã tăng cường các kiểm tra quyền riêng tư. Các biện pháp bảo mật chặt chẽ hơn đã được tích hợp sâu vào hệ thống. Điều này nhằm bảo vệ thông tin người dùng khỏi các hành vi truy cập và thu thập trái phép.

Bảo vệ Nâng cao cho AppleMobileFileIntegrity và Assets qua Các Cập nhật Bản vá

Các thành phần quan trọng như AppleMobileFileIntegrity và Assets cũng nhận được những cập nhật bản vá cần thiết. Mục tiêu là củng cố lớp bảo vệ của hệ thống.

Mục đích chính của các cập nhật này là ngăn chặn các ứng dụng độc hại. Chúng không thể thoát khỏi các hạn chế sandbox mặc định của hệ thống. Đồng thời, chúng cũng bị chặn truy cập vào các dữ liệu được bảo vệ nghiêm ngặt.

Các lỗ hổng CVE cụ thể như CVE-2025-43379 và CVE-2025-43407 đã được sửa chữa trong các bản vá bảo mật này. Việc này được thực hiện bằng cách tăng cường quá trình xác thực dữ liệu đầu vào. Đồng thời, Apple cũng cải thiện cơ chế xử lý các quyền hạn (entitlements), đảm bảo tính toàn vẹn của hệ thống.

Các Bản vá Bảo mật Quan trọng cho WebKit và Các Lỗ hổng CVE

Một số lượng lớn lỗ hổng CVE đã được phát hiện và khắc phục trong WebKit. Đây là công cụ trình duyệt mạnh mẽ, đóng vai trò nền tảng cho Safari và nhiều ứng dụng khác trên iOS và iPadOS.

Những lỗ hổng CVE này bao gồm nhiều lỗi có thể dẫn đến hỏng bộ nhớ nghiêm trọng. Hoặc gây ra rò rỉ dữ liệu không an toàn từ trình duyệt. Một số lỗi khác còn có thể gây ra sự cố trình duyệt không mong muốn và đột ngột, ảnh hưởng đến trải nghiệm người dùng.

Apple đã giải quyết triệt để các vấn đề này thông qua một loạt cải tiến. Điều này bao gồm việc cải thiện đáng kể quản lý bộ nhớ. Đồng thời, họ cũng tăng cường xác thực đầu vào và áp dụng các kiểm tra bảo mật chặt chẽ hơn trên toàn bộ WebKit.

Các lỗ hổng CVE trong WebKit được đánh giá là nghiêm trọng nhất. Chúng mang các định danh như CVE-2025-43438, CVE-2025-43433, và CVE-2025-43421. Việc khắc phục những lỗ hổng này là một trọng tâm lớn trong các bản vá bảo mật lần này.

Nâng cao Quyền riêng tư và Bảo vệ Dữ liệu Người dùng với Bản vá Mới

Ngoài các vấn đề về WebKit, các bản vá bảo mật mới này còn nhắm mục tiêu vào một số điểm yếu. Những điểm yếu này trực tiếp liên quan đến quyền riêng tư và bảo vệ dữ liệu người dùng.

Các thành phần như Control Center (CVE-2025-43350) và Status Bar (CVE-2025-43460) trước đây có thể đã làm lộ thông tin hạn chế hoặc nhạy cảm. Điều này có thể xảy ra ngay cả khi thiết bị đang ở trạng thái khóa, tạo ra một rủi ro đáng kể từ các lỗ hổng CVE.

Để đối phó, Apple đã phản ứng bằng cách thắt chặt quyền truy cập. Đồng thời, họ tăng cường các biện pháp bảo vệ màn hình khóa. Mục tiêu là đảm bảo rằng dữ liệu cá nhân của người dùng vẫn an toàn và được bảo vệ nghiêm ngặt ngay cả khi thiết bị bị khóa.

Hơn nữa, các bản sửa lỗi mới đã được triển khai trong các ứng dụng quan trọng. Cụ thể là Photos, Contacts, và Find My. Các cải tiến này ngăn chặn hiệu quả các ứng dụng không được phép. Chúng không thể lấy dấu vân tay (fingerprinting) hoặc theo dõi người dùng một cách trái phép.

Các bản vá bảo mật này cũng giúp ngăn chặn rò rỉ thông tin cá nhân. Rò rỉ có thể xảy ra thông qua việc truy cập nhật ký hệ thống hoặc các tệp tạm thời không được bảo vệ. Điều này củng cố thêm lớp bảo vệ cho dữ liệu nhạy cảm của người dùng.

Khuyến nghị và Nguồn Thông tin Chính thức về Cập nhật Bản vá

Apple khuyến nghị mạnh mẽ tất cả người dùng nên cài đặt iOS 26.1 và iPadOS 26.1 càng sớm càng tốt. Đây là bước cần thiết và quan trọng để đảm bảo an toàn cho thiết bị và bảo mật dữ liệu cá nhân.

Chính sách của công ty là giữ lại các chi tiết cụ thể về các lỗ hổng CVE đã được khắc phục. Việc này được thực hiện cho đến khi người dùng có đủ thời gian để áp dụng các bản vá bảo mật. Điều này giúp giảm thiểu rủi ro từ việc khai thác tích cực bởi các tác nhân đe dọa.

Thông tin kỹ thuật đầy đủ và chi tiết hơn về các bản vá bảo mật này. Tất cả đều được ghi lại trên các trang hỗ trợ bảo mật chính thức của Apple. Người dùng có thể xem chi tiết tại đây để hiểu rõ hơn về các bản sửa lỗi.