Apple vừa tung bản cập nhật iOS 18.4.1 nhằm khắc phục hai lỗ hổng bảo mật nghiêm trọng đang bị khai thác trong các cuộc tấn công tinh vi, kêu gọi người dùng iPhone cập nhật ngay lập tức.
Apple vừa phát hành bản cập nhật iOS 18.4.1 với cảnh báo khẩn cấp đến người dùng iPhone: hãy cập nhật thiết bị ngay để tránh bị tấn công. Bản cập nhật lần này xử lý hai lỗ hổng bảo mật nghiêm trọng hiện đang bị khai thác trong thực tế.
Do lo ngại tin tặc có thể tận dụng thông tin chi tiết về các lỗ hổng, Apple không công bố quá nhiều chi tiết kỹ thuật. Tuy nhiên, theo ghi nhận trên trang hỗ trợ chính thức, một trong hai lỗ hổng nằm trong thành phần CoreAudio (được đánh mã CVE-2025-31200) có thể bị lợi dụng qua một tệp âm thanh độc hại để thực thi mã trái phép trên thiết bị. Lỗ hổng này do chính Apple và nhóm phân tích mối đe dọa của Google phát hiện.
Apple cho biết họ đã nhận được báo cáo rằng lỗ hổng này có thể đã bị khai thác trong một cuộc tấn công phức tạp nhắm vào một số cá nhân cụ thể.
Lỗ hổng thứ hai (CVE-2025-31201) thuộc về thành phần RPAC, có thể cho phép kẻ tấn công vượt qua cơ chế bảo vệ xác thực con trỏ – một lớp bảo mật trong iOS, từ đó chiếm quyền truy cập hệ thống nếu có khả năng đọc và ghi tùy ý.
Cả hai lỗ hổng đều được xem là “zero-day” – tức là bị khai thác trước khi Apple kịp phát hành bản vá, khiến mức độ rủi ro càng nghiêm trọng. Theo chuyên gia bảo mật Sylvain Cortes từ Hackuity, việc khai thác các lỗi này có thể mở ra cơ hội cho các cuộc tấn công tinh vi như cài phần mềm gián điệp (spyware).
Chuyên gia Paul Ducklin ví von lỗi CoreAudio là “Podcast tử thần”, ám chỉ rằng chỉ cần một tệp âm thanh độc hại cũng có thể khiến thiết bị bị chiếm quyền điều khiển. Ông nhấn mạnh rằng cuộc tấn công được thực hiện qua hai lỗ hổng zero-day và khuyến nghị người dùng cập nhật ngay.
Spyware đặc biệt nguy hiểm vì cho phép tin tặc truy cập toàn bộ dữ liệu trên thiết bị, kể cả tin nhắn mã hóa qua các ứng dụng như WhatsApp hay Signal. Dù những cuộc tấn công kiểu này thường chỉ nhắm đến một nhóm đối tượng rất cụ thể như nhà báo, nhà hoạt động hay quan chức, mọi người vẫn được khuyến khích cập nhật để đảm bảo an toàn.
Đáng chú ý, bản cập nhật iOS 18.4.1 được phát hành chỉ hai tuần sau iOS 18.4 – bản vá đã sửa tới 62 lỗ hổng, cho thấy Apple đang theo sát các vấn đề bảo mật. Trước đó vào tháng 3, Apple cũng phát hành iOS 18.3.2 để vá một lỗ hổng đã bị khai thác.
Cùng với iOS 18.4.1, Apple cũng phát hành các bản cập nhật tương ứng cho các nền tảng khác gồm macOS Sequoia 15.4.1, iPadOS 18.4.1, tvOS 18.4.1 và visionOS 2.4.1 – tất cả đều xử lý hai lỗ hổng nêu trên. Trong khi đó, Apple Watch được cập nhật lên watchOS 11.4 với nhiều vá lỗi, Safari 18.4 sửa các lỗ hổng WebKit và Xcode 16.3 cũng nhận bản vá bảo mật trên macOS Sequoia.
Người dùng nên lưu ý: nếu thiết bị của bạn đủ điều kiện nâng cấp lên iOS 18 nhưng vẫn đang dùng iOS 17, Apple sẽ không tiếp tục cung cấp bản vá bảo mật cho phiên bản cũ. Do đó, cập nhật là điều cấp thiết.
Bản iOS 18.4.1 hỗ trợ iPhone XS trở lên, iPad Pro 13 inch và 11 inch (từ thế hệ 1), iPad Air thế hệ thứ 3, iPad thường từ thế hệ thứ 7, và iPad mini từ thế hệ thứ 5.
Để cập nhật, vào Cài đặt > Cài đặt chung > Cập nhật phần mềm, sau đó tải và cài đặt iOS 18.4.1 ngay hôm nay.