Apple vừa phát hành bản cập nhật bảo mật để vá lỗ hổng CVE-2025-655 trong WebKit – nền tảng trình duyệt cốt lõi của Safari – sau khi lỗi này bị khai thác trong các cuộc tấn công zero-day nhằm vào người dùng Google Chrome.

Apple lo hong.jpg
Apple đã vá 6 lỗ hổng từ đầu năm đến nay. Ảnh: Bleeping Computer

Với lỗi này, tin tặc có thể thực thi mã độc từ xa trong quá trình xử lý đồ họa của trình duyệt, qua đó vượt qua cơ chế sandbox – lớp bảo vệ cách ly giữa trình duyệt và hệ điều hành – để chiếm quyền kiểm soát hệ thống.

Lỗ hổng được Vlad Stolyarov và Clément Lecigne, chuyên gia từ nhóm phân tích mối đe dọa của Google (TAG), phát hiện vào tháng 6 và được đánh giá là đang bị khai thác tích cực.

TAG thường xuyên phát hiện các cuộc tấn công do các nhóm tin tặc có tổ chức thực hiện, nhắm vào các nhà báo, chính trị gia và nhà hoạt động nhân quyền.

Apple đã tung ra bản vá cho hầu hết các thiết bị chính, bao gồm: iOS 18.6 / iPadOS 18.6, cho iPhone XS, iPad Pro 13 inch trở lại đây, macOS Sequoia 15.6, cho tất cả máy Mac đang chạy Sequoia; tvOS 18.6, visionOS 2.6, watchOS 11.6; iPadOS 17.7.9 cho iPad thế hệ 2, iPad Pro 10.5 inch và iPad thế hệ 6.

Trong mô tả lỗi, Apple cảnh báo: “Việc xử lý nội dung web được tạo một cách độc hại có thể dẫn đến Safari bị sập bất ngờ”.

Đáng chú ý, ngày 22/7, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung CVE-2025-6558 vào danh sách các lỗ hổng đang bị khai thác tích cực, yêu cầu các cơ quan liên bang Mỹ phải cập nhật bản vá trước ngày 12/8 theo quy định BOD 22-01.

CISA khuyến nghị: “Tất cả các quản trị viên mạng nên ưu tiên cập nhật bản vá này ngay lập tức vì đây là kiểu lỗ hổng thường xuyên bị khai thác và gây nguy cơ lớn”.

Từ đầu năm 2025, Apple đã vá tổng cộng 6 lỗ hổng zero-day, gồm 1 lỗi trong tháng 1 (CVE-2025-24085), 1 lỗi trong tháng 2 (CVE-2025-24200), 1 lỗi trong tháng 3 (CVE-2025-24201), 2 lỗi trong tháng 4 (CVE-2025-31200 và 31201), 1 lỗi trong tháng 7 (CVE-2025-6558).

Đây là lời cảnh tỉnh cho người dùng Apple về tầm quan trọng của việc cập nhật phần mềm thường xuyên, đặc biệt trong bối cảnh tin tặc ngày càng tinh vi và nhắm vào các nền tảng phổ biến như iOS và Chrome.

(Theo Bleeping Computer)

Người dùng iPhone dễ bị lừa đảo hơn Android?Một khảo sát mới từ công ty an ninh mạng Malwarebytes cho thấy người dùng iPhone dễ mắc bẫy lừa đảo trực tuyến hơn Android, cũng như ít thực hành các thói quen bảo mật cơ bản.