Apple phát hành bản vá khẩn, lỗ hổng ảnh hưởng cả iPhone 6s và SE đời đầu

[WhiteHat Team]

Apple vừa phát hành loạt bản cập nhật bảo mật quan trọng để xử lý một lỗ hổng nguy hiểm đã bị khai thác trong thực tế (zero-day), ảnh hưởng đến các thiết bị iOS, iPadOS và macOS, kể cả những thiết bị đời cũ. Lỗ hổng có mã CVE-2025-43300, được đánh giá điểm CVSS 8,8, liên quan đến thành phần ImageIO, có thể khiến thiết bị bị tấn công chỉ thông qua một hình ảnh độc hại.

​

Đặc biệt, lỗ hổng này đã bị kết hợp với một lỗi khác trong WhatsApp để thực hiện các cuộc tấn công giám sát tinh vi, có chủ đích nhắm vào dưới 200 cá nhân. Các chuyên gia cảnh báo, dù phạm vi mục tiêu hiện tại có vẻ nhỏ nhưng mức độ nguy hiểm rất cao và mọi người dùng Apple nên cập nhật ngay để bảo vệ thiết bị.

Lỗ hổng CVE-2025-43300 là một lỗi ghi tràn bộ nhớ (out-of-bounds write) trong thành phần xử lý ảnh ImageIO, có mặt trong tất cả các hệ điều hành của Apple như iOS, macOS và iPadOS. Khi một hình ảnh độc hại được xử lý bởi hệ thống, lỗi này có thể dẫn đến lỗi bộ nhớ, mở đường cho kẻ tấn công thực thi mã độc trên thiết bị.

Apple cho biết lỗi này đã bị khai thác thực tế trong các cuộc tấn công tinh vi nhằm vào cá nhân được chọn lọc kỹ lưỡng. WhatsApp cũng xác nhận một lỗ hổng riêng của họ trên iOS/macOS (CVE-2025-55177, điểm CVSS 5,4) đã bị kết hợp với CVE-2025-43300 để triển khai phần mềm gián điệp nhắm vào một nhóm nhỏ người dùng.

Mặc dù lỗ hổng này đã được Apple khắc phục lần đầu vào cuối tháng trước thông qua bản cập nhật cho các thiết bị mới (bao gồm iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Ventura 13.7.8, macOS Sonoma 14.7.8 và macOS Sequoia 15.6.1) thì hiện tại, bản vá cũng đã được phát hành cho các phiên bản hệ điều hành cũ hơn, cụ thể là:

• iOS 16.7.12 và iPadOS 16.7.12, dành cho các thiết bị:
  iPhone 8, iPhone 8 Plus, iPhone X, iPad thế hệ thứ 5, iPad Pro 9.7-inch và iPad Pro 12.9-inch thế hệ đầu tiên.
• iOS 15.8.5 và iPadOS 15.8.5, dành cho các thiết bị đời cũ hơn như:
  iPhone 6s (tất cả các mẫu), iPhone 7 (tất cả các mẫu), iPhone SE (thế hệ đầu tiên), iPad Air 2, iPad mini (thế hệ thứ 4) và iPod touch (thế hệ thứ 7).

Đây là hành động hiếm hoi, cho thấy Apple đánh giá mức độ nghiêm trọng của cuộc tấn công là rất cao.

Trong chuỗi tấn công đã được phát hiện:

• Tin tặc gửi một tệp hình ảnh độc hại qua WhatsApp hoặc một nền tảng nhắn tin nào đó.
• Khi hình ảnh được xử lý bởi hệ thống ImageIO của Apple, lỗ hổng CVE-2025-43300 bị khai thác để thực thi mã độc.
• Lỗ hổng CVE-2025-55177 trong WhatsApp cho phép vượt qua các hạn chế bảo mật còn lại để cài phần mềm gián điệp hoặc đánh cắp thông tin.
• Nạn nhân không cần phải làm gì, chỉ cần thiết bị nhận hoặc xử lý hình ảnh là có thể bị khai thác.

Cùng đợt cập nhật, Apple cũng vá hàng loạt lỗ hổng khác trên Safari, WebKit, DiskArbitration, Spotlight, AppSandbox... Dù chưa có bằng chứng các lỗ hổng này bị khai thác, nhiều lỗi cho phép thoát sandbox, leo thang đặc quyền hoặc chiếm quyền roo, sẽ cực kỳ nguy hiểm nếu bị lợi dụng.

Các bản cập nhật này đã được phát hành cùng với iOS 26, iPadOS 26, iOS 18.7, iPadOS 18.7, macOS Tahoe 26, macOS Sequoia 15.7, macOS Sonoma 14.8, tvOS 26, visionOS 26, watchOS 26, Safari 26 và Xcode 26. Những bản cập nhật này cũng xử lý một số lỗ hổng bảo mật khác, bao gồm:

• CVE-2025-31255: Một lỗ hổng phân quyền trong IOKit, cho phép một ứng dụng có thể truy cập vào dữ liệu nhạy cảm mà bình thường không được phép.
• CVE-2025-43362: Một lỗ hổng trong LaunchServices, cho phép ứng dụng theo dõi thao tác gõ phím của người dùng mà không cần sự cho phép của họ.
• CVE-2025-43329: Một lỗ hổng về phân quyền trong Sandbox, có thể cho phép một ứng dụng thoát khỏi môi trường cách ly (sandbox) và hoạt động như thể không bị giới hạn.
• CVE-2025-31254: Một lỗ hổng trong Safari, có thể dẫn đến việc chuyển hướng URL bất ngờ khi người dùng truy cập nội dung web được thiết kế độc hại.
• CVE-2025-43272: Một lỗ hổng trong WebKit, có thể khiến trình duyệt Safari bị sập (crash) khi xử lý các nội dung web được tạo ra nhằm mục đích tấn công.
• CVE-2025-43285: Một lỗ hổng phân quyền trong AppSandbox, cho phép ứng dụng có thể truy cập vào dữ liệu người dùng đã được bảo vệ, điều mà lẽ ra phải bị hạn chế.
• CVE-2025-43349: Một lỗi ghi tràn bộ nhớ (out-of-bounds write) trong CoreAudio, có thể khiến ứng dụng bị tắt đột ngột khi xử lý tệp video được tạo độc hại.
• CVE-2025-43316: Một lỗ hổng phân quyền trong DiskArbitration, cho phép một ứng dụng có thể chiếm quyền điều khiển hệ thống ở cấp độ root, tức là toàn quyền điều hành máy.
• CVE-2025-43297: Một lỗ hổng nhầm lẫn kiểu dữ liệu (type confusion) trong Power Management, có thể bị khai thác để gây ra từ chối dịch vụ (DoS), khiến thiết bị ngừng hoạt động bình thường.
• CVE-2025-43204: Một lỗ hổng trong RemoteViewServices, cho phép ứng dụng vượt ra ngoài giới hạn của sandbox, từ đó có thể tiếp cận những phần của hệ thống mà lẽ ra phải bị cô lập.
• CVE-2025-43358: Một lỗ hổng phân quyền trong ứng dụng Phím tắt (Shortcuts), có thể cho phép một shortcut bỏ qua các giới hạn sandbox và thực hiện hành vi ngoài ý muốn.
• CVE-2025-43333: Một lỗ hổng phân quyền trong Spotlight, cho phép ứng dụng có thể leo thang đặc quyền và chiếm quyền root trên hệ thống.
• CVE-2025-43304: Một lỗ hổng điều kiện tranh chấp (race condition) trong StorageKit, cũng có thể được khai thác để chiếm quyền root.
• CVE-2025-48384: Một lỗ hổng trong Git/Xcode, có thể dẫn đến thực thi mã từ xa nếu lập trình viên clone phải một kho mã (repository) được thiết kế độc hại.

Các chuyên gia an ninh mạng khuyến cáo người dùng Apple:

• Cập nhật thiết bị ngay lập tức, bao gồm cả thiết bị đời cũ nếu còn sử dụng.
• Không mở tệp lạ, đặc biệt là hình ảnh từ nguồn không tin cậy.
• Sử dụng tính năng Lockdown Mode (Chế độ khóa bảo vệ) nếu bạn là người có nguy cơ cao (nhà báo, nhà hoạt động, lãnh đạo...).
• Theo dõi các bản cập nhật định kỳ, không chờ đợi quá lâu mới cập nhật.

Sự việc lần này không chỉ là một bản vá bảo mật thông thường, nó là lời nhắc nhở mạnh mẽ để chúng ta thấy được các vụ tấn công mạng ngày càng tinh vi và mọi người dùng đều có thể trở thành mục tiêu, bất kể bạn là ai.

WhiteHat​