Cảnh báo khẩn hàng triệu người dùng iPhone: Lập tức làm điều này trước khi quá muộn!

Apple vừa phát hành bản cập nhật iOS 18.6.2 kèm cảnh báo khẩn, khuyến nghị người dùng iPhone nâng cấp ngay lập tức để tránh nguy cơ bị tấn công mạng.

Bản cập nhật này tập trung vào việc vá duy nhất một lỗ hổng bảo mật nghiêm trọng, đã bị khai thác trong thực tế.

Theo Apple, lỗ hổng được định danh CVE-2025-43300 xuất phát từ Image/IO – công cụ xử lý hầu hết định dạng ảnh trên iPhone.

Lỗ hổng này có thể gây lỗi bộ nhớ khi thiết bị xử lý hình ảnh độc hại, mở đường cho kẻ tấn công chiếm quyền điều khiển hoặc cài đặt mã độc từ xa.

“Chúng tôi nhận được báo cáo rằng lỗ hổng này đã bị lợi dụng trong những cuộc tấn công tinh vi nhằm vào một số cá nhân cụ thể”, Apple cảnh báo.

Chuyên gia an ninh mạng Jake Moore (ESET) cho biết lỗi bộ nhớ kiểu này có thể khiến dữ liệu bị thay đổi bất thường, từ đó tạo điều kiện cho tin tặc làm sập ứng dụng hoặc chạy phần mềm độc hại.

Đây là dạng tấn công zero-click, nơi nạn nhân có thể bị xâm nhập chỉ bằng một tin nhắn hoặc tệp hình ảnh độc hại mà không cần bấm vào bất kỳ liên kết nào. Một khi bị xâm nhập, phần mềm gián điệp có thể ghi lại màn hình, âm thanh, và thậm chí theo dõi các ứng dụng được mã hóa đầu cuối như Signal hoặc WhatsApp.

Bản vá iOS 18.6.2 được phát hành chỉ ba tuần sau iOS 18.6 – bản cập nhật từng khắc phục tới 29 lỗ hổng bảo mật. Giới chuyên môn nhận định, lỗ hổng lần này có thể liên quan đến các chiến dịch phần mềm gián điệp quy mô quốc gia, tương tự cách mà các biến thể Pegasus đã từng khai thác những điểm yếu trong ImageIO và WebKit trước đây.

Sylvain Cortes, Phó Chủ tịch Chiến lược tại Hackuity, cảnh báo lỗ hổng này đặc biệt nguy hiểm với các doanh nghiệp và cơ quan nhà nước, khi tin tặc có thể nhắm mục tiêu trực tiếp để đánh cắp dữ liệu hoặc gián điệp mạng.

Adam Boynton, chuyên gia bảo mật tại Jamf, khuyến nghị mọi người cài đặt ngay lập tức, nhất là những người làm việc trong các lĩnh vực nhạy cảm như truyền thông, pháp lý hoặc công nghệ.

Hiện iOS 18.6.2 và iPadOS 18.6.2 đã sẵn sàng cho iPhone XS trở lên, các dòng iPad Pro thế hệ thứ 3 trở lên, iPad Air thế hệ 3, iPad mini thế hệ 5 và iPad thường từ thế hệ 7. Đối với thiết bị cũ hơn, Apple cũng phát hành bản iPadOS 17.7.10 để khắc phục cùng lỗ hổng.

Moore nhấn mạnh: “Người dùng không nên chần chừ. Hãy chủ động kiểm tra và cài đặt bản vá ngay để tránh bị khai thác”. Để cập nhật, vào Cài đặt > Cài đặt chung > Cập nhật phần mềm và tải xuống iOS 18.6.2 thủ công, thay vì chờ hệ thống tự động nâng cấp – vốn có thể mất thêm thời gian để triển khai đến toàn bộ thiết bị.

Dù các cuộc tấn công hiện tại chủ yếu nhắm vào nhóm mục tiêu cụ thể như nhà báo, nhà hoạt động xã hội hay doanh nghiệp trong các lĩnh vực quan trọng, nhưng việc vá lỗ hổng này sớm sẽ giúp người dùng phổ thông tránh trở thành nạn nhân trong các chiến dịch tấn công diện rộng có thể xảy ra trong tương lai.