Lỗ hổng CVE-2025-24201
Apple đã công bố bản cập nhật bảo mật quan trọng để khắc phục lỗ hổng zero-day, được xác định là CVE-2025-24201. Lỗ hổng này, đã bị khai thác tích cực trong các cuộc tấn công 'cực kỳ tinh vi', ảnh hưởng đến công cụ trình duyệt Web WebKit. Sự cố liên quan đến lỗ hổng ghi ngoài giới hạn có thể cho phép kẻ tấn công bỏ qua hộp cát Nội dung Web, có khả năng gây nguy hiểm cho bảo mật thiết bị.
Mục lục
CVE-2025-24201: Chi tiết kỹ thuật
Lỗ hổng CVE-2025-24201 được phân loại là out-of-bounds write, một loại lỗ hổng cho phép kẻ tấn công tạo ra nội dung Web không an toàn có khả năng thực hiện các hành động trái phép. Bằng cách khai thác vấn đề này, kẻ tấn công có khả năng thoát khỏi hộp cát WebKit và giành quyền kiểm soát thiết bị bị ảnh hưởng. Apple đã phản ứng bằng cách triển khai các kiểm tra bảo mật được cải thiện để ngăn chặn các hành động trái phép này xảy ra. Bản vá này cũng đóng vai trò là bản sửa lỗi bổ sung cho một cuộc tấn công trước đó đã bị chặn trong iOS 17.2.
Khai thác chủ động trong các cuộc tấn công có mục tiêu
Apple đã thừa nhận rằng lỗ hổng này có thể đã bị khai thác trong các cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể. Tuy nhiên, công ty vẫn chưa tiết lộ các chi tiết như nguồn gốc của các cuộc tấn công, cơ sở người dùng mục tiêu hoặc thời gian khai thác kéo dài bao lâu. Ngoài ra, vẫn chưa rõ liệu lỗ hổng này có được nhóm bảo mật của Apple phát hiện nội bộ hay được một nhà nghiên cứu bên ngoài báo cáo hay không.
Thiết bị bị ảnh hưởng và phiên bản phần mềm
Bản cập nhật bảo mật có sẵn cho các thiết bị và phiên bản phần mềm sau:
- iOS 18.3.2 & iPadOS 18.3.2: iPhone XS trở lên, iPad Pro 13 inch (thế hệ thứ 3 trở lên), iPad Pro 12,9 inch (thế hệ thứ 3 trở lên), iPad Pro 11 inch (thế hệ thứ 1 trở lên), iPad Air (thế hệ thứ 3 trở lên), iPad (thế hệ thứ 7 trở lên) và iPad mini (thế hệ thứ 5 trở lên).
- macOS Sequoia 15.3.2: Máy Mac chạy macOS Sequoia.
- Safari 18.3.1: Máy Mac chạy macOS Ventura và macOS Sonoma.
- visionOS 2.3.2: Apple Vision Pro.
Những nỗ lực liên tục của Apple để giải quyết các lỗ hổng Zero-Day
Đây là lỗ hổng zero-day thứ ba mà Apple vá trong năm 2025. Trước đó, Apple cũng đã giải quyết CVE-2025-24085 và CVE-2025-24200, nhấn mạnh tính phức tạp ngày càng tăng của các cuộc tấn công mạng nhắm vào hệ sinh thái của Apple. Các bản vá kịp thời này nhấn mạnh tầm quan trọng của việc cập nhật các bản sửa lỗi bảo mật mới nhất.
Làm thế nào để được bảo vệ
Apple khuyến khích người dùng cập nhật thiết bị của mình ngay lập tức để bảo vệ khỏi lỗ hổng này. Để cập nhật thiết bị của bạn:
- iPhone & iPad : Vào Cài đặt > Cài đặt chung > Cập nhật phần mềm và cài đặt bản cập nhật mới nhất.
- Mac : Mở Cài đặt hệ thống > Cài đặt chung > Cập nhật phần mềm để áp dụng bản cập nhật macOS mới nhất.
- Safari : Người dùng máy Mac trên Ventura hoặc Sonoma nên cập nhật Safari thông qua Cài đặt hệ thống > Cập nhật phần mềm.
- Apple Vision Pro : Cập nhật visionOS thông qua Cài đặt > Cài đặt chung > Cập nhật phần mềm.
Bằng cách cập nhật thường xuyên, người dùng có thể giảm thiểu rủi ro bị khai thác từ lỗ hổng bảo mật zero-day này và tăng cường bảo mật cho thiết bị Apple của mình.
Phản ứng nhanh chóng của Apple đối với lỗ hổng bảo mật này phản ánh những nỗ lực liên tục nhằm bảo vệ người dùng khỏi các cuộc tấn công zero-day tinh vi. Mặc dù việc thiếu minh bạch về quy mô và nguồn gốc của các cuộc tấn công gây ra lo ngại, bản vá cung cấp khả năng bảo vệ quan trọng cho các thiết bị bị ảnh hưởng. Người dùng nên ưu tiên cập nhật kịp thời để đảm bảo an ninh liên tục trước các mối đe dọa mạng đang phát triển.
Lỗ hổng CVE-2025-24201 Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
