Hoàng Đức
Writer
Cơ quan Ứng phó Khẩn cấp An ninh mạng Singapore đã phát đi cảnh báo, kêu gọi người dùng iPhone và iPad nhanh chóng cập nhật thiết bị lên phiên bản iOS 26.2 mới nhất, sau khi phát hiện nhiều lỗ hổng bảo mật trong các phiên bản trước đó đã bị tin tặc khai thác trong các cuộc tấn công có chủ đích.
Trong thông báo ngày 14/12, SingCert, đơn vị trực thuộc Cơ quan An ninh mạng Singapore, dẫn thông tin từ Apple cho biết hãng “nhận thức được rằng các lỗ hổng này có thể đã bị khai thác trong thực tế”. Cơ quan An ninh mạng Singapore hiện chưa ghi nhận trường hợp người dùng trong nước bị ảnh hưởng bởi các lỗ hổng nói trên.
Apple đã phát hành iOS 26.2 vào ngày 12/12, vá hơn 20 lỗ hổng bảo mật, trong đó có hai lỗ hổng zero-day từng được sử dụng trong các cuộc tấn công thực tế. Cả hai đều liên quan đến WebKit, công cụ trình duyệt cốt lõi đứng sau Safari trên iOS, iPadOS và macOS.
Theo Apple, hai lỗ hổng này được định danh là CVE-2025-43529 và CVE-2025-14174. Lỗ hổng đầu tiên cho phép tin tặc thực thi mã độc từ xa khi người dùng truy cập nội dung web độc hại, trong khi lỗ hổng còn lại có thể gây lỗi hỏng bộ nhớ khi tải trang web chứa mã nguy hiểm.
Các thiết bị bị ảnh hưởng bao gồm iPhone 11 trở lên, iPad Pro 12,9 inch từ thế hệ thứ ba, iPad Pro 11 inch từ thế hệ đầu tiên, iPad Air từ thế hệ thứ ba, iPad từ thế hệ thứ tám và iPad mini từ thế hệ thứ năm.
Darren Guccione, đồng sáng lập công ty an ninh mạng Keeper Security tại Mỹ, cho biết WebKit từ lâu là mục tiêu hấp dẫn của tin tặc do nằm ở ranh giới giữa nội dung web và hệ điều hành.
“Đây là một bề mặt tấn công có giá trị cao đối với những kẻ tìm cách xâm nhập vào thiết bị iOS”, ông nói.
Bản cập nhật iOS 26.2 được tung ra không lâu sau khi Apple cảnh báo người dùng tại khoảng 150 quốc gia rằng họ có thể đang là mục tiêu của phần mềm gián điệp.
Ngoài hai lỗ hổng zero-day, bản vá lần này còn khắc phục nhiều lỗi nghiêm trọng khác, bao gồm các lỗ hổng cho phép truy cập ảnh trong album ẩn, đánh cắp mã thanh toán và truy xuất trường mật khẩu khi điều khiển thiết bị từ xa qua FaceTime.
Ông Guccione kêu gọi người dùng không trì hoãn việc cập nhật.
“Ngay khi bản vá được phát hành, thông tin chi tiết về lỗ hổng sẽ nhanh chóng bị lộ, tạo cơ hội cho tin tặc tấn công các thiết bị chưa được vá. Càng chậm cập nhật, rủi ro càng lớn”, ông nói.
Ông nhấn mạnh rằng việc cài đặt iOS 26.2 không chỉ là nâng cấp thông thường mà là một bước bảo mật cần thiết, đồng thời khuyến nghị người dùng duy trì các thói quen an toàn cơ bản như sử dụng mật khẩu mạnh, bật xác thực đa yếu tố và cảnh giác với các hình thức lừa đảo trực tuyến.
Trong thông báo ngày 14/12, SingCert, đơn vị trực thuộc Cơ quan An ninh mạng Singapore, dẫn thông tin từ Apple cho biết hãng “nhận thức được rằng các lỗ hổng này có thể đã bị khai thác trong thực tế”. Cơ quan An ninh mạng Singapore hiện chưa ghi nhận trường hợp người dùng trong nước bị ảnh hưởng bởi các lỗ hổng nói trên.
Apple đã phát hành iOS 26.2 vào ngày 12/12, vá hơn 20 lỗ hổng bảo mật, trong đó có hai lỗ hổng zero-day từng được sử dụng trong các cuộc tấn công thực tế. Cả hai đều liên quan đến WebKit, công cụ trình duyệt cốt lõi đứng sau Safari trên iOS, iPadOS và macOS.
Theo Apple, hai lỗ hổng này được định danh là CVE-2025-43529 và CVE-2025-14174. Lỗ hổng đầu tiên cho phép tin tặc thực thi mã độc từ xa khi người dùng truy cập nội dung web độc hại, trong khi lỗ hổng còn lại có thể gây lỗi hỏng bộ nhớ khi tải trang web chứa mã nguy hiểm.
Các thiết bị bị ảnh hưởng bao gồm iPhone 11 trở lên, iPad Pro 12,9 inch từ thế hệ thứ ba, iPad Pro 11 inch từ thế hệ đầu tiên, iPad Air từ thế hệ thứ ba, iPad từ thế hệ thứ tám và iPad mini từ thế hệ thứ năm.
Darren Guccione, đồng sáng lập công ty an ninh mạng Keeper Security tại Mỹ, cho biết WebKit từ lâu là mục tiêu hấp dẫn của tin tặc do nằm ở ranh giới giữa nội dung web và hệ điều hành.
“Đây là một bề mặt tấn công có giá trị cao đối với những kẻ tìm cách xâm nhập vào thiết bị iOS”, ông nói.
Bản cập nhật iOS 26.2 được tung ra không lâu sau khi Apple cảnh báo người dùng tại khoảng 150 quốc gia rằng họ có thể đang là mục tiêu của phần mềm gián điệp.
Ngoài hai lỗ hổng zero-day, bản vá lần này còn khắc phục nhiều lỗi nghiêm trọng khác, bao gồm các lỗ hổng cho phép truy cập ảnh trong album ẩn, đánh cắp mã thanh toán và truy xuất trường mật khẩu khi điều khiển thiết bị từ xa qua FaceTime.
Ông Guccione kêu gọi người dùng không trì hoãn việc cập nhật.
“Ngay khi bản vá được phát hành, thông tin chi tiết về lỗ hổng sẽ nhanh chóng bị lộ, tạo cơ hội cho tin tặc tấn công các thiết bị chưa được vá. Càng chậm cập nhật, rủi ro càng lớn”, ông nói.
Ông nhấn mạnh rằng việc cài đặt iOS 26.2 không chỉ là nâng cấp thông thường mà là một bước bảo mật cần thiết, đồng thời khuyến nghị người dùng duy trì các thói quen an toàn cơ bản như sử dụng mật khẩu mạnh, bật xác thực đa yếu tố và cảnh giác với các hình thức lừa đảo trực tuyến.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview