Nếu bạn đã trì hoãn việc cập nhật iPhone (hoặc các thiết bị Apple khác), thì bây giờ là lúc để thực hiện vì một loạt bản cập nhật bảo mật khẩn cấp mới đã được phát hành để khắc phục hai lỗ hổng zero-day.
Theo báo cáo của BleepingComputer, những lỗ hổng mới được phát hiện này đã nhanh chóng được công ty vá sau khi nhận ra rằng chúng có thể đã bị khai thác trong một "cuộc tấn công cực kỳ tinh vi". Trong bản tin bảo mật, Apple giải thích rằng cuộc tấn công này nhắm vào "những cá nhân cụ thể" sử dụng một trong những chiếc iPhone tốt nhất.
Lỗ hổng zero-day đầu tiên (được theo dõi là CVE-2025-31200) là một lỗ hổng trong CoreAudio được các nhà nghiên cứu bảo mật từ cả Apple và Nhóm phân tích mối đe dọa của Google phát hiện. Nếu bị tin tặc khai thác, nó có thể được sử dụng để thực thi mã từ xa trên thiết bị dễ bị tấn công bằng cách xử lý luồng âm thanh trong tệp phương tiện được tạo ra một cách độc hại.
Lỗ hổng zero-day thứ hai (được theo dõi là CVE-2025-31201) là một lỗ hổng trong khuôn khổ Remote Participant Audio Control (RPAC) của Apple mà công ty tự phát hiện ra. Tin tặc có quyền đọc và ghi vào thiết bị dễ bị tấn công có thể khai thác lỗ hổng này để bỏ qua tính năng bảo mật của iOS có tên là Xác thực con trỏ giúp bảo vệ bộ nhớ
Giống như thường lệ, Apple không chia sẻ thêm bất kỳ chi tiết nào về cách khai thác các lỗ hổng zero-day này trong cuộc tấn công cực kỳ tinh vi này.
Lý do công ty thực hiện theo cách này là để cung cấp cho người dùng đủ thời gian để cập nhật thiết bị của họ đồng thời ngăn chặn tin tặc thực hiện kỹ thuật đảo ngược các cuộc tấn công này để chúng có thể tạo lại chúng.
Tuy nhiên, điều chúng ta biết là rất nhiều thiết bị Apple bị ảnh hưởng bởi hai lỗ hổng zero-day này bao gồm:
Tuy nhiên, bạn sẽ muốn cập nhật thiết bị Apple của mình ngay lập tức vì các cuộc tấn công khai thác lỗ hổng như thế này cuối cùng có xu hướng ảnh hưởng đến người dùng thông thường.
Tin tặc thích nhắm vào những người chạy phần mềm lỗi thời vì chúng là mục tiêu dễ dàng. Vì lý do này, bạn muốn cài đặt iPhone, Mac và các bản cập nhật bảo mật mới nhất từ Apple ngay khi chúng có sẵn để giảm thiểu rủi ro trở thành nạn nhân của một cuộc tấn công lợi dụng các lỗ hổng bảo mật hoặc lỗ hổng đã được vá.
Từ đây, bạn muốn đảm bảo rằng bạn và những người còn lại trong gia đình đang thực hành vệ sinh mạng tốt.
Điều này có nghĩa là không nhấp vào liên kết hoặc tải xuống tệp đính kèm từ những người gửi không xác định cũng như không trả lời các email đáng ngờ có cảm giác cấp bách. Tất cả các ví dụ trên đều là dấu hiệu của một vụ lừa đảo qua mạng có thể khiến dữ liệu cá nhân và tài chính của bạn gặp rủi ro và có khả năng khiến bạn trở thành nạn nhân của hành vi trộm cắp danh tính.
Mặc dù máy Mac của bạn được cài đặt sẵn phần mềm bảo mật XProtect của Apple, nhưng bạn cũng có thể cân nhắc sử dụng phần mềm diệt vi-rút Mac tốt nhất cùng với phần mềm này để được bảo vệ thêm.
Mặc dù không có ứng dụng diệt vi-rút Android nào tương đương với iPhone do những hạn chế của Apple về việc quét phần mềm độc hại, nhưng phần mềm diệt vi-rút Mac của Intego có thể quét phần mềm độc hại trên iPhone hoặc iPad của bạn khi được kết nối với máy tính qua cáp USB.
Phần mềm diệt vi-rút có thể giúp bạn tránh trở thành nạn nhân của nhiễm phần mềm độc hại khó chịu hoặc các cuộc tấn công mạng khác ngay từ đầu. Tuy nhiên, các dịch vụ bảo vệ chống trộm danh tính tốt nhất có thể giúp bạn khôi phục danh tính và lấy lại bất kỳ khoản tiền nào bị mất do gian lận sau một cuộc tấn công.
Với hai lỗ hổng này, Apple hiện đã vá tổng cộng năm lỗ hổng zero-day kể từ đầu năm nay.
Mặc dù điều này nghe có vẻ đáng sợ lúc đầu, nhưng thực tế lại là điều tốt vì công ty thường xuyên cập nhật phần mềm của mình để giữ an toàn cho bạn và các thiết bị Apple của bạn. Tuy nhiên, bạn phải cài đặt các bản cập nhật này để tránh trở thành nạn nhân của bất kỳ cuộc tấn công mạng nào khai thác các lỗ hổng này.
Theo báo cáo của BleepingComputer, những lỗ hổng mới được phát hiện này đã nhanh chóng được công ty vá sau khi nhận ra rằng chúng có thể đã bị khai thác trong một "cuộc tấn công cực kỳ tinh vi". Trong bản tin bảo mật, Apple giải thích rằng cuộc tấn công này nhắm vào "những cá nhân cụ thể" sử dụng một trong những chiếc iPhone tốt nhất.
Lỗ hổng zero-day đầu tiên (được theo dõi là CVE-2025-31200) là một lỗ hổng trong CoreAudio được các nhà nghiên cứu bảo mật từ cả Apple và Nhóm phân tích mối đe dọa của Google phát hiện. Nếu bị tin tặc khai thác, nó có thể được sử dụng để thực thi mã từ xa trên thiết bị dễ bị tấn công bằng cách xử lý luồng âm thanh trong tệp phương tiện được tạo ra một cách độc hại.
Lỗ hổng zero-day thứ hai (được theo dõi là CVE-2025-31201) là một lỗ hổng trong khuôn khổ Remote Participant Audio Control (RPAC) của Apple mà công ty tự phát hiện ra. Tin tặc có quyền đọc và ghi vào thiết bị dễ bị tấn công có thể khai thác lỗ hổng này để bỏ qua tính năng bảo mật của iOS có tên là Xác thực con trỏ giúp bảo vệ bộ nhớ
Các thiết bị Apple bị ảnh hưởng
Giống như thường lệ, Apple không chia sẻ thêm bất kỳ chi tiết nào về cách khai thác các lỗ hổng zero-day này trong cuộc tấn công cực kỳ tinh vi này.
Lý do công ty thực hiện theo cách này là để cung cấp cho người dùng đủ thời gian để cập nhật thiết bị của họ đồng thời ngăn chặn tin tặc thực hiện kỹ thuật đảo ngược các cuộc tấn công này để chúng có thể tạo lại chúng.
Tuy nhiên, điều chúng ta biết là rất nhiều thiết bị Apple bị ảnh hưởng bởi hai lỗ hổng zero-day này bao gồm:
- iPhone (XS trở lên)
- iPad Pro 13 inch, iPad Pro 13,9 inch (thế hệ thứ 3 trở lên)
- iPad Pro 11 inch (thế hệ thứ 1 trở lên)
- iPad Air (thế hệ thứ 3 gen và các phiên bản sau)
- iPad (thế hệ thứ 7 và các phiên bản sau)
- iPad mini (thế hệ thứ 5 và các phiên bản khác)
- Mac chạy macOS Sequoia
- Apple TV HD
- Apple TV 4K (tất cả các mẫu)
- Apple Vision Pro
Tuy nhiên, bạn sẽ muốn cập nhật thiết bị Apple của mình ngay lập tức vì các cuộc tấn công khai thác lỗ hổng như thế này cuối cùng có xu hướng ảnh hưởng đến người dùng thông thường.
Cách giữ iPhone và máy Mac của bạn an toàn trước tin tặc
Tin tặc thích nhắm vào những người chạy phần mềm lỗi thời vì chúng là mục tiêu dễ dàng. Vì lý do này, bạn muốn cài đặt iPhone, Mac và các bản cập nhật bảo mật mới nhất từ Apple ngay khi chúng có sẵn để giảm thiểu rủi ro trở thành nạn nhân của một cuộc tấn công lợi dụng các lỗ hổng bảo mật hoặc lỗ hổng đã được vá.
Từ đây, bạn muốn đảm bảo rằng bạn và những người còn lại trong gia đình đang thực hành vệ sinh mạng tốt.
Điều này có nghĩa là không nhấp vào liên kết hoặc tải xuống tệp đính kèm từ những người gửi không xác định cũng như không trả lời các email đáng ngờ có cảm giác cấp bách. Tất cả các ví dụ trên đều là dấu hiệu của một vụ lừa đảo qua mạng có thể khiến dữ liệu cá nhân và tài chính của bạn gặp rủi ro và có khả năng khiến bạn trở thành nạn nhân của hành vi trộm cắp danh tính.
Mặc dù máy Mac của bạn được cài đặt sẵn phần mềm bảo mật XProtect của Apple, nhưng bạn cũng có thể cân nhắc sử dụng phần mềm diệt vi-rút Mac tốt nhất cùng với phần mềm này để được bảo vệ thêm.
Mặc dù không có ứng dụng diệt vi-rút Android nào tương đương với iPhone do những hạn chế của Apple về việc quét phần mềm độc hại, nhưng phần mềm diệt vi-rút Mac của Intego có thể quét phần mềm độc hại trên iPhone hoặc iPad của bạn khi được kết nối với máy tính qua cáp USB.
Phần mềm diệt vi-rút có thể giúp bạn tránh trở thành nạn nhân của nhiễm phần mềm độc hại khó chịu hoặc các cuộc tấn công mạng khác ngay từ đầu. Tuy nhiên, các dịch vụ bảo vệ chống trộm danh tính tốt nhất có thể giúp bạn khôi phục danh tính và lấy lại bất kỳ khoản tiền nào bị mất do gian lận sau một cuộc tấn công.
Với hai lỗ hổng này, Apple hiện đã vá tổng cộng năm lỗ hổng zero-day kể từ đầu năm nay.
Mặc dù điều này nghe có vẻ đáng sợ lúc đầu, nhưng thực tế lại là điều tốt vì công ty thường xuyên cập nhật phần mềm của mình để giữ an toàn cho bạn và các thiết bị Apple của bạn. Tuy nhiên, bạn phải cài đặt các bản cập nhật này để tránh trở thành nạn nhân của bất kỳ cuộc tấn công mạng nào khai thác các lỗ hổng này.
- T-Mobile đang bắt đầu gửi các khoản thanh toán giải quyết vi phạm dữ liệu lên tới 25.000 đô la — hãy xem bạn có đủ điều kiện không
- Số An sinh xã hội của bạn thực sự là một mỏ vàng đối với những kẻ lừa đảo và trộm danh tính — đây là cách giữ an toàn cho số tiền đó
- 1,6 triệu người bị ảnh hưởng trong vụ vi phạm dữ liệu bảo hiểm lớn — họ tên đầy đủ, địa chỉ, SSN và nhiều thông tin khác bị tiết lộ
