MediaTek, một nhà cung cấp chipset hàng đầu thế giới, vừa công bố một bản tin bảo mật quan trọng, giải quyết tổng cộng 16 lỗ hổng bảo mật nghiêm trọng. Các lỗ hổng này có phạm vi ảnh hưởng rộng lớn, bao trùm danh mục sản phẩm chipset đa dạng của công ty, từ các thiết bị di động đến các giải pháp AIoT và giải trí gia đình.
Bản tin này nhấn mạnh cam kết của MediaTek trong việc duy trì an ninh cho các sản phẩm của mình, đồng thời cung cấp thông tin chi tiết về các rủi ro tiềm ẩn và các biện pháp khắc phục cần thiết cho các nhà sản xuất thiết bị (OEM) và người dùng cuối.
Tổng quan về Bản tin bảo mật MediaTek tháng 7/2025
Bản cập nhật bảo mật được phát hành vào tháng 7 năm 2025 này làm rõ về 16 lỗ hổng bảo mật đã được MediaTek xác định và khắc phục. Trong tổng số này, có bảy lỗ hổng được phân loại ở mức độ nghiêm trọng cao (high-severity) và chín lỗ hổng ở mức độ nghiêm trọng trung bình (medium-severity). Việc tồn tại các lỗ hổng này có thể dẫn đến các hậu quả nghiêm trọng, tiềm tàng khả năng làm tổn hại đến an ninh và tính toàn vẹn của các thiết bị sử dụng chipset MediaTek.
Phân loại và Tác động của Lỗ hổng
Các lỗ hổng được giải quyết trong bản tin có khả năng bị khai thác thông qua nhiều vector tấn công khác nhau, đe dọa trực tiếp đến tính bảo mật của thiết bị. Các loại hình tấn công tiềm năng bao gồm:
- Thực thi mã từ xa (Remote Code Execution – RCE): Đây là một trong những loại lỗ hổng nghiêm trọng nhất, cho phép kẻ tấn công thực thi mã độc hại trên thiết bị từ xa mà không cần tương tác trực tiếp với người dùng hoặc quyền truy cập vật lý. Một cuộc tấn công RCE thành công có thể dẫn đến việc kiểm soát hoàn toàn thiết bị, đánh cắp dữ liệu nhạy cảm hoặc cài đặt phần mềm độc hại.
- Leo thang đặc quyền (Privilege Escalation): Lỗ hổng này cho phép kẻ tấn công nâng cao mức độ quyền hạn của mình trên hệ thống. Ví dụ, một ứng dụng độc hại chạy với quyền hạn thấp có thể khai thác lỗ hổng này để có được quyền hạn cao hơn, thậm chí là quyền root hoặc administrator, từ đó truy cập vào các tài nguyên bị hạn chế hoặc thực hiện các hành động phá hoại.
- Từ chối dịch vụ (Denial of Service – DoS): Các cuộc tấn công DoS nhằm mục đích làm quá tải hoặc làm hỏng thiết bị, khiến các dịch vụ thiết yếu không thể hoạt động. Điều này có thể dẫn đến việc thiết bị ngừng phản hồi, khởi động lại liên tục hoặc không thể truy cập được, gây gián đoạn nghiêm trọng đến trải nghiệm người dùng và hoạt động của hệ thống.
Việc đánh giá mức độ nghiêm trọng của từng lỗ hổng được thực hiện theo tiêu chuẩn Common Vulnerability Scoring System (CVSS) phiên bản 3.1. CVSS là một hệ thống đánh giá chuẩn hóa quốc tế, cung cấp một phương pháp định lượng để xác định mức độ nghiêm trọng của lỗ hổng bảo mật. Bằng cách sử dụng CVSS v3.1, MediaTek đảm bảo rằng việc đánh giá rủi ro là nhất quán, khách quan và dễ hiểu trên toàn ngành công nghiệp, giúp các bên liên quan ưu tiên các biện pháp khắc phục hiệu quả nhất.
Phạm vi ảnh hưởng của Chipset và Nền tảng
Danh mục chipset của MediaTek bị ảnh hưởng bởi các lỗ hổng này là rất rộng, trải dài trên nhiều phân khúc thị trường và loại hình thiết bị. Các sản phẩm bị ảnh hưởng trực tiếp bao gồm:
- Chipset cho điện thoại thông minh và máy tính bảng.
- Chipset phục vụ các ứng dụng AIoT (Trí tuệ nhân tạo vạn vật).
- Chipset cho màn hình thông minh và nền tảng thông minh.
- Chipset cho các thiết bị OTT (Over-The-Top).
- Chipset ứng dụng trong công nghệ thị giác máy tính và các giải pháp âm thanh.
- Chipset dành cho TV thông minh.
Bên cạnh đó, các lỗ hổng cũng tác động đến các phiên bản phần mềm cụ thể. Các hệ điều hành Android bị ảnh hưởng bao gồm Android 13.0, Android 14.0 và Android 15.0. Ngoài ra, nhiều bản phát hành Bộ công cụ phát triển phần mềm (SDK) của MediaTek và các bản phân phối dựa trên OpenWRT cũng nằm trong phạm vi cần được cập nhật. Điều này nhấn mạnh tính chất rộng khắp của các lỗ hổng này, yêu cầu sự chú ý từ một lượng lớn các nhà sản xuất và nhà phát triển ứng dụng liên quan đến hệ sinh thái MediaTek.
Chính sách Tiết lộ có trách nhiệm và Hợp tác cộng đồng
MediaTek đã áp dụng chính sách tiết lộ có trách nhiệm (Responsible Disclosure) đối với các lỗ hổng này. Theo đó, công ty đã chủ động thông báo cho các nhà sản xuất thiết bị gốc (OEM) về sự tồn tại của các lỗ hổng ít nhất hai tháng trước khi công bố rộng rãi bản tin bảo mật. Khoảng thời gian tiền công bố này là cực kỳ quan trọng, mang lại đủ thời gian cho các OEM để phát triển, kiểm tra và triển khai các bản vá bảo mật cần thiết cho các thiết bị của họ trước khi thông tin về lỗ hổng trở nên công khai. Điều này giúp giảm thiểu rủi ro thiết bị bị khai thác bởi kẻ tấn công trước khi các bản vá được phát hành.
Sự hiện diện của các nguồn báo cáo bên ngoài đối với tất cả các lỗ hổng được đề cập trong bản tin là một minh chứng rõ ràng cho hiệu quả của các thực hành tiết lộ có trách nhiệm. Nó cũng làm nổi bật tầm quan trọng của nghiên cứu bảo mật hợp tác. Sự hợp tác giữa các nhà nghiên cứu độc lập và các nhà sản xuất chip như MediaTek là yếu tố then chốt để nhanh chóng xác định, báo cáo và khắc phục các điểm yếu bảo mật. Nỗ lực chung này góp phần duy trì tính toàn vẹn và độ bền vững của an ninh thiết bị trên toàn bộ hệ sinh thái công nghệ, đảm bảo rằng người dùng cuối được bảo vệ tốt nhất có thể.
Khuyến nghị và Hướng dẫn cập nhật
Để đảm bảo an toàn tối đa cho các thiết bị sử dụng chipset MediaTek, cả nhà sản xuất thiết bị và người dùng cuối đều được khuyến nghị mạnh mẽ rằng nên ưu tiên hành động. Điều quan trọng nhất là phải cập nhật các thiết bị bị ảnh hưởng với các bản vá bảo mật mới nhất ngay khi chúng được phát hành. MediaTek khuyến khích các OEM nhanh chóng tích hợp các bản vá này vào các bản cập nhật firmware hoặc phần mềm của họ.
Đối với người dùng cuối, việc thường xuyên kiểm tra các bản cập nhật phần mềm hệ thống trên điện thoại thông minh, máy tính bảng, hoặc các thiết bị AIoT/TV thông minh của mình là cực kỳ cần thiết. Việc áp dụng kịp thời các bản vá này sẽ giúp khắc phục các lỗ hổng đã biết, từ đó giảm thiểu đáng kể nguy cơ bị khai thác bởi các tác nhân độc hại. Đây là biện pháp phòng ngừa hiệu quả nhất để bảo vệ dữ liệu cá nhân và đảm bảo hoạt động liên tục của thiết bị.
