Apple và Google phát hành bản vá khẩn cấp trước các lỗ hổng zero-day đang bị khai thác

Hai “ông lớn” công nghệ buộc phải tung bản cập nhật bảo mật khẩn cấp sau khi phát hiện nhiều lỗ hổng zero-day trên iOS, macOS và Chrome đã bị khai thác trong các cuộc tấn công thực tế có mức độ tinh vi cao.

Theo đó, Apple và Google vừa đồng loạt tung ra các bản cập nhật bảo mật khẩn sau khi phát hiện nhiều lỗ hổng zero-day đã và đang bị tin tặc khai thác trong các cuộc tấn công thực tế. Hai hãng công nghệ lớn mô tả đây là những chiến dịch có mức độ tinh vi cao, buộc người dùng phải nhanh chóng cập nhật thiết bị để giảm thiểu rủi ro.

Trong những ngày gần đây, cả Apple lẫn Google đều phải gấp rút phát hành bản vá nhằm khắc phục các điểm yếu bảo mật trước khi kẻ tấn công tiếp tục mở rộng phạm vi khai thác. Các lỗ hổng này đã bị lợi dụng trên thực tế đối với một số mục tiêu chưa được công bố, khiến người dùng rơi vào tình thế “cập nhật trước, tìm hiểu sau”.

Phía Apple đã triển khai các bản cập nhật bảo mật cho nhiều nền tảng trong hệ sinh thái của mình, bao gồm iPhone, iPad và máy Mac. Các bản vá tập trung xử lý hai lỗ hổng nghiêm trọng trong WebKit – bộ máy trình duyệt cốt lõi của Apple. Theo hãng, những điểm yếu này có thể đã bị lợi dụng trong các cuộc tấn công được nhắm mục tiêu cụ thể, với mức độ phức tạp rất cao. Tuy nhiên, Apple tiếp tục giữ im lặng về chi tiết kỹ thuật, chỉ xác nhận rằng các khai thác này là có thật và đã xuất hiện ngoài thực tế.

Trong khi đó, Google cũng phát hành bản cập nhật cho kênh Chrome Stable, sửa nhiều lỗ hổng bảo mật, trong đó có ít nhất một zero-day đã bị khai thác trước khi có bản vá. Lỗ hổng nguy hiểm này được định danh là CVE-2025-14174, thuộc nhóm lỗi truy cập bộ nhớ ngoài phạm vi cho phép. Google thừa nhận đã ghi nhận hoạt động khai thác lỗ hổng này trên thực tế.

Theo Google, bản vá cho CVE-2025-14174 đã được triển khai từ tuần trước, song quá trình xử lý vẫn đang trong giai đoạn phối hợp giữa các bên liên quan. Sau khi Apple công bố thông tin về các phát hiện của mình, Google đã cập nhật lại ghi chú vá lỗi, qua đó hé lộ sự trùng lặp trong quá trình điều tra giữa hai công ty.

Dù cả hai bên đều hạn chế công bố chi tiết kỹ thuật, Google cho biết việc phát hiện lỗ hổng CVE-2025-14174 có sự đóng góp từ nhóm kỹ sư bảo mật của Apple và Threat Analysis Group – đơn vị chuyên theo dõi các chiến dịch gián điệp mạng, phần mềm gián điệp thuê ngoài và các cuộc tấn công có yếu tố nhà nước. Điều này cho thấy các khai thác nói trên nhiều khả năng thuộc nhóm tấn công có chủ đích cao, thay vì những chiến dịch phát tán mã độc thông thường.

Loạt bản vá khẩn cấp lần này tiếp tục làm dày thêm danh sách các lỗ hổng zero-day bị khai thác trong năm 2025. Tính đến thời điểm hiện tại, Apple đã phải xử lý 9 lỗ hổng zero-day bị tấn công ngoài thực tế, trong khi Google đã vá 8 lỗ hổng zero-day trên Chrome chỉ riêng trong năm nay. Con số này cho thấy trình duyệt web và nền tảng di động vẫn là những mục tiêu đặc biệt hấp dẫn đối với giới tấn công mạng, do mức độ phổ biến và giá trị khai thác cao.