The Kings
Writer
Theo tạp chí Wired, Apple sẽ phát hành bản cập nhật iOS 18 vào sáng thứ Tư 1/4 theo giờ địa phương, nhằm khắc phục lỗi có tên " DarkSword".Đây là một lỗ hổng bảo mật nghiêm trọng.
Trong vài tuần qua, Apple đã phát hành nhiều bản cập nhật bảo mật cho các phiên bản iOS cũ hơn, khắc phục hai lỗ hổng bảo mật nghiêm trọng: CorunaLỗ hổng này ảnh hưởng đến các thiết bị chạy iOS 13 đến iOS 17.2.1; lỗ hổng DarkSword nhắm mục tiêu vào iPhone chạy iOS 18.4 đến 18.7.
Tóm lại, cả hai lỗ hổng đều khai thác nhiều điểm yếu của hệ thống để xâm nhập các hệ thống và thiết bị cũ. Kẻ tấn công thường sử dụng các lỗ hổng của WebKit (công cụ của trình duyệt Safari) làm điểm khởi đầu để leo thang đặc quyền và giành quyền kiểm soát sâu hơn đối với thiết bị.
Trước đây, Apple đã phát hành các bản vá lỗi tương ứng theo từng đợt:
1. iOS 15.8.7 và iPadOS 15.8.7: Tương thích với tất cả các mẫu iPhone 6s, tất cả các mẫu iPhone 7 , iPhone SE thế hệ đầu tiên, iPad Air 2, iPad mini thế hệ thứ tư và iPod touch thế hệ thứ bảy.
2. iOS 16.7.15 và iPadOS 16.7.15: dành cho iPhone 8, iPhone 8 Plus, iPhone X , iPad thế hệ thứ năm, iPad Pro 9.7 inch và iPad Pro 12.9 inch thế hệ đầu tiên.
3. iOS 18.7.7 và iPadOS 18.7.7: Dành cho iPhone XS, iPhone XS Max, iPhone XR và iPad thế hệ thứ 7.
Không khó để nhận thấy rằng mặc dù Apple trước đây đã vá lỗ hổng bảo mật iOS 18, nhưng hãng chỉ cập nhật cho các mẫu máy cũ hơn không thể nâng cấp lên iOS 26. Điều này có nghĩa là tất cả các thiết bị hỗ trợ iOS 26 nhưng chưa nâng cấp vì nhiều lý do khác nhau vẫn có nguy cơ bị tấn công bởi lỗ hổng DarkSword.
Đáp lại, Apple đã xác nhận với Wired rằng họ sẽ phát hành phiên bản iOS 18 mới, tích hợp cơ chế bảo vệ tương tự như iOS 26, đặc biệt là để chặn lỗ hổng DarkSword.
Lưu ý rằng mã nguồn của lỗ hổng DarkSword đã được công khai tải lên GitHub vào tuần trước, làm giảm đáng kể rào cản khai thác đối với tin tặc. Các biện pháp khắc phục của Apple rất kịp thời. Nếu bạn hoặc người quen của bạn vẫn đang sử dụng iOS 18, vui lòng cập nhật ngay khi bản vá tương thích được phát hành.
Trong vài tuần qua, Apple đã phát hành nhiều bản cập nhật bảo mật cho các phiên bản iOS cũ hơn, khắc phục hai lỗ hổng bảo mật nghiêm trọng: CorunaLỗ hổng này ảnh hưởng đến các thiết bị chạy iOS 13 đến iOS 17.2.1; lỗ hổng DarkSword nhắm mục tiêu vào iPhone chạy iOS 18.4 đến 18.7.
Tóm lại, cả hai lỗ hổng đều khai thác nhiều điểm yếu của hệ thống để xâm nhập các hệ thống và thiết bị cũ. Kẻ tấn công thường sử dụng các lỗ hổng của WebKit (công cụ của trình duyệt Safari) làm điểm khởi đầu để leo thang đặc quyền và giành quyền kiểm soát sâu hơn đối với thiết bị.
Trước đây, Apple đã phát hành các bản vá lỗi tương ứng theo từng đợt:
1. iOS 15.8.7 và iPadOS 15.8.7: Tương thích với tất cả các mẫu iPhone 6s, tất cả các mẫu iPhone 7 , iPhone SE thế hệ đầu tiên, iPad Air 2, iPad mini thế hệ thứ tư và iPod touch thế hệ thứ bảy.
2. iOS 16.7.15 và iPadOS 16.7.15: dành cho iPhone 8, iPhone 8 Plus, iPhone X , iPad thế hệ thứ năm, iPad Pro 9.7 inch và iPad Pro 12.9 inch thế hệ đầu tiên.
3. iOS 18.7.7 và iPadOS 18.7.7: Dành cho iPhone XS, iPhone XS Max, iPhone XR và iPad thế hệ thứ 7.
Không khó để nhận thấy rằng mặc dù Apple trước đây đã vá lỗ hổng bảo mật iOS 18, nhưng hãng chỉ cập nhật cho các mẫu máy cũ hơn không thể nâng cấp lên iOS 26. Điều này có nghĩa là tất cả các thiết bị hỗ trợ iOS 26 nhưng chưa nâng cấp vì nhiều lý do khác nhau vẫn có nguy cơ bị tấn công bởi lỗ hổng DarkSword.
Đáp lại, Apple đã xác nhận với Wired rằng họ sẽ phát hành phiên bản iOS 18 mới, tích hợp cơ chế bảo vệ tương tự như iOS 26, đặc biệt là để chặn lỗ hổng DarkSword.
Theo các báo cáo, người dùng chưa bật cập nhật tự động có thể chọn nâng cấp lên phiên bản iOS 18 đã được vá lỗi mới nhất hoặc nâng cấp trực tiếp lên phiên bản iOS 26 chính thức.
Lưu ý rằng mã nguồn của lỗ hổng DarkSword đã được công khai tải lên GitHub vào tuần trước, làm giảm đáng kể rào cản khai thác đối với tin tặc. Các biện pháp khắc phục của Apple rất kịp thời. Nếu bạn hoặc người quen của bạn vẫn đang sử dụng iOS 18, vui lòng cập nhật ngay khi bản vá tương thích được phát hành.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview