Apple đã phát hành bản vá cho lỗ hổng zero-day trong WebKit, lỗ hổng này đã bị khai thác trong các cuộc tấn công có chủ đích. Bản cập nhật bảo mật được Apple phát hành vào Thứ Ba để giải quyết một lỗ hổng zero-day mà họ cho biết đã bị khai thác trong các cuộc tấn công “cực kỳ tinh vi”

Lỗ hổng này đã được gán mã định danh CVE-2025-24201 và nằm ở thành phần công cụ trình duyệt web WebKit. CVE-2025-24201 được mô tả là một vấn đề ghi ngoài bộ nhớ (out-of-bounds write issue) có thể cho phép kẻ tấn công tạo ra nội dung web độc hại để vượt qua hộp cát (sandbox) của Web Content. Apple cho biết họ đã giải quyết vấn đề này bằng cách cải thiện các biện pháp kiểm tra để ngăn chặn các hành động trái phép. Họ cũng lưu ý rằng đây là một bản sửa lỗi bổ sung cho một cuộc tấn công đã bị chặn trong iOS 17.2. Hơn nữa, Apple thừa nhận rằng lỗ hổng “có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể trên các phiên bản iOS trước iOS 17.2”.

Tuy nhiên, thông báo không đề cập đến việc liệu nhóm bảo mật của Apple có phát hiện ra lỗ hổng này hay nó được báo cáo bởi một nhà nghiên cứu bên ngoài. Thông báo cũng không đề cập đến thời điểm các cuộc tấn công bắt đầu, kéo dài bao lâu và ai là mục tiêu.

Bản cập nhật này có sẵn cho các thiết bị và phiên bản hệ điều hành sau:

•

iOS 18.3.2 và iPadOS 18.3.2 – iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên

•

macOS Sequoia 15.3.2 – Máy Mac chạy macOS Sequoia

•

Safari 18.3.1 – Máy Mac chạy macOS Ventura và macOS Sonoma

•

visionOS 2.3.2 – Apple Vision Pro

Với sự phát triển mới nhất này, Apple đã giải quyết tổng cộng ba lỗ hổng zero-day đang bị khai thác tích cực trong phần mềm của mình kể từ đầu năm, hai lỗ hổng còn lại là CVE-2025-24085 và CVE-2025-24200

Đông Dương