Apple tung bản vá khẩn cấp cho lỗ hổng Zero-day thứ 3 trong năm 2025

[WhiteHat Team]

Apple vừa phát hành các bản cập nhật bảo mật khẩn cấp để vá một lỗ hổng zero-day (CVE-2025-24201) trong Webkit, vừa được phát hiện trong tháng 3/2025 và được xác định là đã bị khai thác trong các cuộc tấn công cực kỳ tinh vi.

Lỗ hổng này được phát hiện trong WebKit, công cụ trình duyệt web đa nền tảng được sử dụng bởi Safari và nhiều ứng dụng khác trên macOS, iOS, Linux và Windows.

Kẻ tấn công có thể khai thác lỗ hổng CVE-2025-24201 bằng cách sử dụng nội dung web độc hại để thoát khỏi sandbox Web Content, từ đó thực hiện các hành động trái phép trên hệ thống. Lỗ hổng này có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhằm vào một số cá nhân cụ thể trên các phiên bản iOS trước iOS 17.2.

Lỗ hổng này ảnh hưởng đến một danh sách dài các thiết bị của Apple, bao gồm:

• iPhone XS trở lên
• iPad Pro 13-inch, iPad Pro 12.9-inch (từ thế hệ thứ 3 trở lên), iPad Pro 11-inch (từ thế hệ thứ 1 trở lên), iPad Air (từ thế hệ thứ 3 trở lên), iPad (từ thế hệ thứ 7 trở lên), iPad mini (từ thế hệ thứ 5 trở lên)
• Mac chạy macOS Sequoia
• Apple Vision Pro

Apple đã khắc phục lỗ hổng bằng cách cải thiện cơ chế kiểm tra dữ liệu trong các bản cập nhật sau:

• iOS 18.3.2
• iPadOS 18.3.2
• macOS Sequoia 15.3.2
• visionOS 2.3.2
• Safari 18.3.1

Mặc dù lỗ hổng này chủ yếu bị khai thác trong các cuộc tấn công có mục tiêu, nhưng Apple vẫn khuyến cáo tất cả người dùng nên cập nhật thiết bị càng sớm càng tốt để ngăn chặn các cuộc tấn công tiềm ẩn.

Từ đầu năm 2025 đến nay, Apple đã khắc phục 03 lỗ hổng zero-day:

• CVE-2025-24085 (tháng 1)
• CVE-2025-24200 (tháng 2)
• CVE-2025-24201 (tháng 3)

Năm 2024, Apple đã vá 06 lỗ hổng zero-day bị khai thác. Trước đó, vào năm 2023, công ty phải xử lý 20 lỗ hổng zero-day, trong đó có nhiều lỗ hổng nghiêm trọng bị khai thác trên diện rộng.

Người dùng nên cập nhật ngay thiết bị của mình để đảm bảo an toàn trước các cuộc tấn công mạng ngày càng tinh vi.

Theo Bleeping Computer​