Apple hôm thứ Sáu đã phát hành các bản cập nhật bảo mật cho iOS, iPadOS, macOS, tvOS, watchOS, visionOS và trình duyệt web Safari của họ để khắc phục hai lỗ hổng bảo mật được cho là đã bị khai thác trong thực tế. Một trong số đó là cùng một lỗ hổng mà Google đã vá trong Chrome vào đầu tuần này.
Các Lỗ Hổng Được Khắc Phục
Các lỗ hổng được liệt kê dưới đây:
- CVE-2025-43529 (điểm CVSS: N/A) - Lỗ hổng use-after-free trong WebKit có thể dẫn đến việc thực thi mã tùy ý khi xử lý nội dung web độc hại.
- CVE-2025-14174 (điểm CVSS: 8.8) - Lỗi hỏng bộ nhớ trong WebKit có thể dẫn đến hỏng bộ nhớ khi xử lý nội dung web độc hại.
Apple cho biết họ nhận thức được rằng những lỗ hổng này "có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhắm vào các cá nhân cụ thể trên các phiên bản iOS trước iOS 26."
Đáng chú ý là CVE-2025-14174 là cùng một lỗ hổng mà Google đã phát hành bản vá cho trình duyệt Chrome của mình vào ngày 10 tháng 12 năm 2025. Lỗ hổng này được gã khổng lồ công nghệ mô tả là lỗi truy cập bộ nhớ ngoài giới hạn (out-of-bounds memory access) trong thư viện Almost Native Graphics Layer Engine (ANGLE) mã nguồn mở của công ty, đặc biệt là trong Metal renderer của nó.
Apple Security Engineering and Architecture (SEAR) và Google Threat Analysis Group (TAG) đã được ghi nhận công lao trong việc phát hiện và báo cáo lỗ hổng này, trong khi Apple ghi nhận TAG đã tìm thấy CVE-2025-43529.
Điều này cho thấy các lỗ hổng có thể đã được vũ khí hóa trong các cuộc tấn công spyware đánh thuê có mục tiêu cao, do chúng đều ảnh hưởng đến WebKit, công cụ kết xuất cũng được sử dụng trong tất cả các trình duyệt web của bên thứ ba trên iOS và iPadOS, bao gồm Chrome, Microsoft Edge, Mozilla Firefox và các trình duyệt khác.
Các Phiên Bản Và Thiết Bị Bị Ảnh Hưởng
Các lỗ hổng đã được khắc phục trong các phiên bản và thiết bị sau:
- iOS 26.2 và iPadOS 26.2 - iPhone 11 trở lên, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 8 trở lên và iPad mini thế hệ thứ 5 trở lên
- iOS 18.7.3 và iPadOS 18.7.3 - iPhone XS trở lên, iPad Pro 13 inch, iPad Pro 12.9 inch thế hệ thứ 3 trở lên, iPad Pro 11 inch thế hệ thứ 1 trở lên, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 7 trở lên và iPad mini thế hệ thứ 5 trở lên
- macOS Tahoe 26.2 - Các máy Mac chạy macOS Tahoe
- tvOS 26.2 - Apple TV HD và Apple TV 4K (tất cả các mẫu)
- watchOS 26.2 - Apple Watch Series 6 trở lên
- visionOS 26.2 - Apple Vision Pro (tất cả các mẫu)
- Safari 26.2 - Các máy Mac chạy macOS Sonoma và macOS Sequoia
Với các bản cập nhật này, Apple hiện đã vá tổng cộng chín lỗ hổng zero-day đã bị khai thác trong thực tế vào năm 2025, bao gồm CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201, CVE-2025-43200 và CVE-2025-43300.
