CISA đã ban hành cảnh báo khẩn cấp về một lỗ hổng zero-day nghiêm trọng trong Apple WebKit đang bị khai thác tích cực trong các cuộc tấn công. Lỗ hổng này, được định danh là CVE-2025-43529, đã được CISA bổ sung vào danh mục các lỗ hổng cần xử lý ngay lập tức.
CISA đã đặt ra thời hạn nghiêm ngặt cho các tổ chức để triển khai các biện pháp bảo vệ, nhấn mạnh tính cấp bách của vấn đề.
Phân Tích Kỹ Thuật Lỗ Hổng WebKit và CVE Nghiêm Trọng
Bản Chất Lỗ Hổng Use-After-Free
Lỗ hổng này được xác định là một điều kiện use-after-free, liên quan đến lỗi quản lý bộ nhớ trong công cụ kết xuất WebKit. Đây là một loại lỗ hổng được phân loại dưới CWE-416.
Kẻ tấn công có thể thao túng tình trạng hỏng bộ nhớ thông qua nội dung web độc hại được tạo ra cẩn thận. Khi người dùng truy cập các trang web được thiết kế đặc biệt này, lỗ hổng có thể được kích hoạt mà không cần tương tác thêm từ người dùng, làm cho nó trở nên đặc biệt nguy hiểm.
Điều kiện use-after-free cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống dễ bị tổn thương, tiềm ẩn nguy cơ chiếm quyền kiểm soát hoàn toàn.
Phạm Vi Ảnh Hưởng Rộng Lớn
Lỗ hổng này ảnh hưởng đến nhiều sản phẩm của Apple, bao gồm iOS, iPadOS, macOS và các nền tảng khác dựa vào WebKit để xử lý HTML.
Tính chất phổ biến của lỗ hổng WebKit này gây lo ngại vì nó không chỉ ảnh hưởng đến trình duyệt Safari gốc của Apple mà còn cả các ứng dụng của bên thứ ba tích hợp WebKit làm công cụ kết xuất HTML của chúng. Điều này mở rộng đáng kể bề mặt tấn công tiềm năng trên toàn hệ sinh thái Apple.
Các Biện Pháp Khắc Phục và Cảnh Báo từ CISA
Yêu Cầu Cập Nhật Bảo Mật Khẩn Cấp
CISA đã nhấn mạnh rằng tất cả các tổ chức và người dùng nên áp dụng các bản cập nhật bảo mật từ Apple ngay lập tức khi có sẵn. Cơ quan này đã đặt ra thời hạn tuân thủ bắt buộc là ngày 5 tháng 1 năm 2026 cho các cơ quan liên bang và nhà thầu theo khuôn khổ Chỉ thị Vận hành Ràng buộc (Binding Operational Directive – BOD 22-01).
Trong môi trường dịch vụ đám mây, các tổ chức phải tuân theo hướng dẫn áp dụng của nhà cung cấp dịch vụ và triển khai các biện pháp kiểm soát bù trừ khi cần thiết. Việc bỏ qua các khuyến nghị này có thể dẫn đến những rủi ro bảo mật nghiêm trọng do lỗ hổng zero-day bị khai thác.
Khuyến Nghị Bảo Vệ Hệ Thống
Người dùng được khuyên nên bật tính năng cập nhật bảo mật tự động trên tất cả các thiết bị Apple để đảm bảo nhận được các bản vá ngay khi chúng được phát hành. Các tổ chức nên kiểm kê tất cả các hệ thống sử dụng trình duyệt và ứng dụng dựa trên WebKit, sau đó ưu tiên cập nhật bản vá tương ứng.
Đối với các hệ thống không thể vá lỗi ngay lập tức, quản trị viên nên xem xét hạn chế duyệt web chỉ với các trang đáng tin cậy. Đồng thời, triển khai lọc nội dung độc hại dựa trên mạng để giảm thiểu nguy cơ bị tấn công khai thác lỗ hổng zero-day này.
Thông Tin Thêm và Giám Sát
Các nhà nghiên cứu bảo mật tiếp tục điều tra phạm vi và ý nghĩa đầy đủ của lỗ hổng CVE-2025-43529. Apple sẽ công bố thêm chi tiết về các phiên bản đã vá lỗi và hướng dẫn khắc phục thông qua các thông báo bảo mật chính thức của mình.
Các tổ chức nên thường xuyên theo dõi các cảnh báo của CISA và trang cập nhật bảo mật của Apple để có thông tin mới nhất. Việc chủ động giám sát là rất quan trọng để bảo vệ hệ thống khỏi những mối đe dọa mạng như lỗ hổng zero-day này.
