Apple đã khẩn trương phát hành các bản vá bảo mật cho hai lỗ hổng zero-day trong WebKit, được các tác nhân đe dọa tích cực khai thác trong các cuộc tấn công tinh vi. Các cuộc tấn công này nhắm vào người dùng iPhone cụ thể đang chạy các phiên bản iOS trước 16.2. Đây là một cảnh báo CVE nghiêm trọng đòi hỏi sự chú ý tức thì từ người dùng.

Phân Tích Các Lỗ Hổng WebKit Zero-Day

Các bản cập nhật iOS 16.2 và iPadOS 16.2, phát hành vào ngày 12 tháng 12 năm 2025, đã giải quyết hai lỗ hổng chính trong WebKit, thành phần quan trọng của trình duyệt Safari và nhiều ứng dụng khác.

CVE-2025-43529: Lỗi Use-After-Free

CVE-2025-43529 là một lỗ hổng dạng use-after-free, cho phép thực thi mã tùy ý thông qua nội dung web độc hại. Lỗi này đã được các nhà nghiên cứu thuộc Google Threat Analysis Group (TAG) phát hiện và báo cáo. Lỗ hổng use-after-free xảy ra khi chương trình cố gắng truy cập bộ nhớ sau khi nó đã được giải phóng, dẫn đến hành vi không xác định hoặc sập hệ thống, và thường bị lợi dụng để đạt được quyền thực thi mã.

CVE-2025-14174: Lỗi Hỏng Bộ Nhớ Liên Quan

CVE-2025-14174 là một vấn đề hỏng bộ nhớ liên quan, cũng được ghi nhận công lao cho Apple và Google TAG. Cả hai lỗ hổng zero-day này đều được xác định là có liên quan đến các chiến dịch phần mềm gián điệp có mục tiêu, cho thấy mức độ tinh vi của các cuộc tấn công.

Phạm Vi Ảnh Hưởng và Các Thiết Bị Bị Tác Động

Các lỗ hổng được vá trong bản cập nhật này ảnh hưởng đến một loạt các thiết bị của Apple. Cụ thể, các mẫu iPhone từ iPhone 11 trở lên đều nằm trong danh sách các thiết bị có nguy cơ. Đối với iPad, các biến thể sau bị ảnh hưởng:

• iPad Pro 12.9 inch (thế hệ thứ 3 trở lên)
• iPad Pro 11 inch (thế hệ thứ 1 trở lên)
• iPad Air (thế hệ thứ 3 trở lên)
• iPad (thế hệ thứ 8 trở lên)
• iPad mini (thế hệ thứ 5 trở lên)

Việc không thực hiện cập nhật bản vá có thể khiến các thiết bị này dễ bị khai thác bởi các lỗ hổng zero-day đã biết.

Các Lỗ Hổng Khác Đã Được Vá trong iOS/iPadOS 16.2

Ngoài các lỗ hổng zero-day trong WebKit, Apple còn giải quyết hơn 30 lỗ hổng khác trên nhiều thành phần hệ thống trong bản cập nhật iOS/iPadOS 16.2. Đây là một nỗ lực toàn diện để tăng cường an toàn thông tin cho người dùng.

Lỗ Hổng Kernel: Tăng Quyền Root

Một vấn đề đáng chú ý là lỗi tràn số nguyên Kernel (CVE-2025-46285), được các nhà nghiên cứu của Alibaba Group phát hiện. Lỗ hổng này có thể cho phép leo thang đặc quyền lên cấp độ root, một rủi ro bảo mật cực kỳ nghiêm trọng.

Vấn Đề Bảo Mật Screen Time: Rò Rỉ Dữ Liệu

Hệ thống Screen Time cũng gặp phải nhiều lỗi ghi nhật ký (logging flaws) như CVE-2025-46277 và CVE-2025-43538. Các lỗ hổng này có thể làm lộ lịch sử Safari hoặc dữ liệu người dùng, dẫn đến rò rỉ dữ liệu nhạy cảm.

Các Bản Vá WebKit Bổ Sung

WebKit tiếp tục nhận được các bản vá bổ sung cho nhiều loại vấn đề khác nhau, bao gồm: lỗi nhầm lẫn kiểu dữ liệu (type confusion), tràn bộ đệm (buffer overflows) và sự cố ứng dụng (crashes). Một số CVE đã được giải quyết trong nhóm này bao gồm CVE-2025-43541 và CVE-2025-43501.

Lỗ Hổng Open-Source

Các lỗ hổng trong các thư viện mã nguồn mở cũng được Apple khắc phục:

• libarchive: CVE-2025-5918
• curl: CVE-2024-7264, CVE-2025-9086

Những bản vá này củng cố tính bảo mật của các thành phần phụ thuộc bên trong iOS/iPadOS.

Hướng Dẫn Cập Nhật và Biện Pháp Khắc Phục

Để giảm thiểu rủi ro từ các cuộc tấn công khai thác lỗ hổng zero-day này, người dùng nên thực hiện cập nhật bản vá ngay lập tức. Quy trình cập nhật rất đơn giản và có thể thực hiện thông qua thiết bị:

Settings > General > Software Update

Việc cập nhật kịp thời là biện pháp quan trọng nhất để bảo vệ thiết bị khỏi các khai thác có mục tiêu, phù hợp với các mô hình tấn công phần mềm gián điệp đã từng thấy trước đây. Apple đã cung cấp thông tin chi tiết về các bản vá này trên trang hỗ trợ bảo mật chính thức của mình. Xem chi tiết bản vá của Apple tại đây.

Sự hợp tác giữa Apple và Google trong việc phát hiện và khắc phục các lỗ hổng zero-day này cho thấy mức độ nghiêm trọng của các mối đe dọa hiện tại. Việc thường xuyên cập nhật bản vá là cần thiết để duy trì an ninh mạng.