Apple phát hành iOS 18.4 vá 62 lỗ hổng bảo mật, khuyến cáo người dùng cập nhật ngay

Trong bản cập nhật lần này, Apple đặc biệt chú trọng vá các lỗ hổng trong WebKit – nền tảng trình duyệt Safari và Kernel phần lõi của hệ điều hành iPhone. Một trong những lỗi đáng lo ngại nhất là lỗ hổng được định danh CVE-2025-30432, cho phép ứng dụng độc hại cố gắng nhập mật mã mở khóa thiết bị dù iPhone đang ở trạng thái bị khóa, gây trì hoãn thời gian sử dụng sau nhiều lần nhập sai.

Bản cập nhật iOS 18.4 của Apple cũng đi kèm cảnh báo cần cập nhật ngay vì nó sửa một danh sách dài 60 lỗi lỗ hổng bảo mật, một số trong đó rất nghiêm trọng.

Lỗi CVE-2025-24208 trong WebKit cũng rất nguy hiểm, có thể bị lợi dụng để tấn công chèn mã độc (cross-site scripting) khi người dùng vô tình truy cập iframe độc hại.

Ông Adam Boynton - Giám đốc chiến lược an ninh khu vực EMEIA tại Jamf cho biết: “Việc liên tục xuất hiện lỗ hổng trong WebKit cho thấy đây vẫn là mục tiêu chính của các hacker, do framework này xử lý toàn bộ nội dung web. Trong khi đó, lỗi trong Kernel ảnh hưởng trực tiếp đến toàn bộ hoạt động của hệ điều hành, nên việc khắc phục là cực kỳ quan trọng.”

Ngoài WebKit và Kernel, iOS 18.4 cũng vá các lỗ hổng trong framework CoreMedia – nền tảng hỗ trợ xử lý dữ liệu truyền thông trên nhiều ứng dụng. Theo ông Boynton, nếu khai thác thành công, tin tặc có thể làm hỏng bộ nhớ quá trình xử lý và truy cập vào thông tin nhạy cảm.

May mắn là hiện chưa có bằng chứng về việc các lỗ hổng trong iOS 18.4 bị khai thác công khai, theo ông Sean Wright – Trưởng bộ phận bảo mật ứng dụng tại Featurespace. Tuy nhiên, ông nhấn mạnh: “Dù chưa bị lợi dụng, nhưng các lỗ hổng này nếu bị kết hợp với nhau vẫn có thể gây ảnh hưởng nghiêm trọng trong các cuộc tấn công có mục tiêu.”

Ông Jake Moore - Cố vấn an ninh mạng toàn cầu tại ESET cảnh báo rằng một số lỗ hổng có thể giúp mã độc chạy từ xa, gây mất dữ liệu hoặc khiến thiết bị không thể hoạt động. Ông khuyến cáo tất cả người dùng nên cập nhật ngay để giảm thiểu rủi ro.

Ngay sau khi iOS 18.4 phát hành, nhà nghiên cứu bảo mật Tommy Mysk phát hiện Apple đã bật mặc định một tính năng mới trong Dịch vụ định vị hệ thống, mang tên “Cải thiện độ chính xác định vị” (Improve Location Accuracy).

Tính năng này giúp tăng độ chính xác GPS bằng cách gửi dữ liệu tọa độ của các mạng Wi-Fi và trạm phát sóng gần đó về Apple. Người dùng có thể kiểm tra tại: Cài đặt > Quyền riêng tư & Bảo mật > Dịch vụ định vị > Dịch vụ hệ thống.

Mặc dù không áp dụng với tất cả thiết bị, người dùng vẫn nên kiểm tra lại để đảm bảo quyền riêng tư.

Bên cạnh iOS 18.4, Apple còn phát hành:

- iPadOS 17.7.6: vá lỗi trong CoreMedia cho các mẫu iPad Pro (12.9 inch thế hệ 2, 10.5 inch) và iPad thế hệ 6.

- iOS 16.7.11: dành cho iPhone 8, 8 Plus, X và một số mẫu iPad, khắc phục 2 lỗi đã bị khai thác ngoài thực tế.

- iOS 15.8.4: dành cho thiết bị rất cũ, cũng vá các lỗi tương tự.

- Safari 18.4 trên macOS Ventura và Sonoma.

- Xcode 16.3, macOS Sequoia 15.4, macOS Sonoma 14.7.5, macOS Ventura 13.7.5.

- tvOS 18.4 và visionOS 2.4 dành cho thiết bị thực tế ảo.

Ngoài bảo mật, iOS 18.4 cũng khắc phục nhiều lỗi gây khó chịu như hiện tượng thông báo bị nhấp nháy khi cuộn, Siri không hoạt động chính xác trong một số ngôn ngữ không phải tiếng Anh, và nhiều vấn đề liên quan đến tính năng Apple Intelligence. Người dùng có thể cập nhật bản vá tại Cài đặt > Cài đặt chung > Cập nhật phần mềm.

Duy Trinh (theo Forbes)