Lỗ hổng bảo mật zero-day webkit iOS và macOS

12/03/2025
1 mins read
Nội dung
Thông tin về lỗ hổng bảo mật của Apple
1. Mô tả Lỗ Hổng
2. Chi Tiết Khai Thác
3. Ảnh Hưởng đến Thiết Bị
4. Phát Hành Bản Vá
5. Không Tiết Lộ Chi Tiết Khai Thác
6. Các Lỗ Hổng Zero-Day Trước Đó

Thông tin về lỗ hổng bảo mật của Apple

Trong bài viết này, Apple đã phát hành một bản vá khẩn cấp để khắc phục lỗ hổng zero-day trong động cơ trình duyệt WebKit, được theo dõi với mã CVE-2025-24201. Dưới đây là những điểm chính:

1. Mô tả Lỗ Hổng

Lỗ hổng cho phép kẻ tấn công có khả năng thoát khỏi các ràng buộc của sandbox Web Content của WebKit, điều này có thể dẫn đến các hành động trái phép. Sandbox này là một tính năng bảo mật được thiết kế để cô lập nội dung web không đáng tin cậy và ngăn chặn mã độc truy cập vào các phần quan trọng của hệ thống.

2. Chi Tiết Khai Thác

Apple đã phân loại cuộc tấn công này là “cực kỳ tinh vi” và lưu ý rằng nó đã được sử dụng trong các cuộc tấn công nhắm vào một số cá nhân cụ thể trước khi bản cập nhật iOS 17.2 ra mắt. Lỗ hổng này ảnh hưởng đến nhiều hệ điều hành của Apple, bao gồm iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2, và Safari 18.3.1.

3. Ảnh Hưởng đến Thiết Bị

Danh sách các thiết bị bị ảnh hưởng bởi zero-day này rất rộng lớn, bao gồm:

  • iPhone XS và các model mới hơn
  • iPad Pro 13-inch, iPad Pro 12.9-inch 3rd generation và các model mới hơn, iPad Pro 11-inch 1st generation và các model mới hơn, iPad Air 3rd generation và các model mới hơn, iPad 7th generation và các model mới hơn, iPad mini 5th generation và các model mới hơn
  • Các máy Mac chạy macOS Sequoia
  • Apple Vision Pro

4. Phát Hành Bản Vá

Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng này. Các bản vá đã giải quyết vấn đề trên các hệ điều hành và ứng dụng được đề cập, đảm bảo an ninh cho người dùng.

5. Không Tiết Lộ Chi Tiết Khai Thác

Apple đã duy trì chính sách không tiết lộ chi tiết cụ thể về khai thác để ngăn chặn việc hỗ trợ cho các tác nhân xấu, tương tự như cách tiếp cận của họ với lỗ hổng zero-day vào tháng 1.

6. Các Lỗ Hổng Zero-Day Trước Đó

Đây là lỗ hổng zero-day thứ ba mà Apple đã giải quyết trong năm nay, sau các vấn đề đã xảy ra vào tháng 1 và tháng 2. Công ty đã chủ động trong việc xử lý các lỗ hổng này để đảm bảo an ninh cho người dùng.

Nguồn: https://thehackernews.com/2025/03/apple-releases-patch-for-webkit-zero.html