Apple khắc phục Zero-Day bị khai thác ảnh hưởng đến iOS, macOS và các thiết bị Apple

Apple hôm thứ Tư đã phát hành các bản cập nhật cho iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS để khắc phục một lỗ hổng zero-day mà họ cho biết đã bị khai thác trong các cuộc tấn công mạng tinh vi. Lỗ hổng, được theo dõi là CVE-2026-20700 (điểm CVSS: N/A), được mô tả là một vấn đề hỏng bộ nhớ trong dyld, trình biên tập liên kết động của Apple. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công có khả năng ghi vào bộ nhớ thực thi mã tùy ý trên các thiết bị dễ bị tổn thương.

Apple hôm thứ Tư đã phát hành các bản cập nhật cho iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS để khắc phục một lỗ hổng zero-day mà hãng cho biết đã bị khai thác trong các cuộc tấn công mạng tinh vi.

Lỗ hổng, được theo dõi là CVE-2026-20700 (điểm CVSS: N/A), được mô tả là một vấn đề memory corruption trong dyld, Dynamic Link Editor của Apple. Việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công với khả năng ghi bộ nhớ thực thi arbitrary code trên các thiết bị dễ bị tổn thương. Google Threat Analysis Group (TAG) được ghi nhận đã phát hiện và báo cáo lỗi này.

"Apple biết về một báo cáo rằng vấn đề này có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể trên các phiên bản iOS trước iOS 26," công ty cho biết trong một khuyến cáo. "CVE-2025-14174 và CVE-2025-43529 cũng đã được phát hành để phản hồi báo cáo này."

Điều đáng chú ý là cả CVE-2025-14174 và CVE-2025-43529 đã được Cupertino khắc phục vào tháng 12 năm 2025, với lỗ hổng trước đó được Google tiết lộ là đã bị khai thác trong thực tế. CVE-2025-14174 (điểm CVSS: 8.8) liên quan đến vấn đề out-of-bounds memory access trong thành phần trình kết xuất Metal của ANGLE. Metal là một API đồ họa và tính toán tăng tốc phần cứng hiệu suất cao do Apple phát triển.

Mặt khác, CVE-2025-43529 (điểm CVSS: 8.8) là một lỗ hổng use-after-free trong WebKit có thể dẫn đến arbitrary code execution khi xử lý nội dung web được tạo ra một cách độc hại.

Các bản cập nhật có sẵn cho các thiết bị và hệ điều hành sau:

iOS 26.3 và iPadOS 26.3 - iPhone 11 trở lên, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 8 trở lên và iPad mini thế hệ thứ 5 trở lên
macOS Tahoe 26.3 - Máy Mac chạy macOS Tahoe
tvOS 26.3 - Apple TV HD và Apple TV 4K (tất cả các mẫu)
watchOS 26.3 - Apple Watch Series 6 trở lên
visionOS 26.3 - Apple Vision Pro (tất cả các mẫu)

Ngoài ra, Apple cũng đã phát hành các bản cập nhật để giải quyết nhiều lỗ hổng trong các phiên bản cũ hơn của iOS, iPadOS, macOS và Safari:

iOS 18.7.5 và iPadOS 18.7.5 - iPhone XS, iPhone XS Max, iPhone XR, iPad thế hệ thứ 7
macOS Sequoia 15.7.4 - Máy Mac chạy macOS Sequoia
macOS Sonoma 14.8.4 - Máy Mac chạy macOS Sonoma
Safari 26.3 - Máy Mac chạy macOS Sonoma và macOS Sequoia

Với diễn biến mới nhất, Apple đã giải quyết lỗ hổng zero-day đầu tiên bị khai thác tích cực trong năm 2026. Năm ngoái, công ty đã vá chín lỗ hổng zero-day đã bị khai thác trong thực tế.