Lỗ Hổng WebKit Xuyên Thủng Hàng Rào Bảo Mật Buộc Apple Tung Bản Vá Bằng Cơ Chế Cập Nhật Nền Mới
Apple đã phát hành đợt "Cập nhật bảo mật nền" (Background Security Improvements) đầu tiên nhằm vá khẩn cấp một lỗ hổng trong WebKit (công cụ kết xuất cốt lõi của hệ sinh thái Apple).
Lỗ hổng CVE-2026-20643: Phá vỡ ranh giới trang web
Lỗ hổng mới nhất này được định danh là CVE-2026-20643 và được phát hiện, báo cáo bởi chuyên gia bảo mật Thomas Espach. Vấn đề gốc rễ nằm ở một lỗi xuyên nguồn gốc (cross-origin issue) bên trong Navigation API của WebKit.
-
Cách thức hoạt động: Lỗ hổng này cho phép kẻ tấn công lách qua "Chính sách cùng nguồn gốc" (Same-Origin Policy - SOP) – một cơ chế phòng thủ cốt lõi của trình duyệt web.
-
Hậu quả: Chỉ cần bạn xử lý các nội dung web chứa mã độc được thiết kế sẵn (maliciously crafted web content), lỗ hổng sẽ bị khai thác để qua mặt các chính sách bảo vệ. Điều này có nghĩa là một trang web độc hại có nguy cơ đánh cắp dữ liệu từ các trang web hợp pháp khác mà bạn đang mở.
Kỷ nguyên "Cập nhật bảo mật nền" (Background Security Improvements)
Điểm sáng của sự cố lần này là cách Apple xử lý nó. Thay vì bắt người dùng phải tải về một bản cập nhật hệ điều hành khổng lồ và chờ đợi máy khởi động lại rất lâu như trước đây, Apple đã ra mắt tính năng Background Security Improvements.
-
Cơ chế này được thiết kế để phân phối các bản phát hành bảo mật "hạng nhẹ" (lightweight security releases).
-
Nó nhắm mục tiêu trực tiếp vào các thành phần như trình duyệt Safari, khung WebKit và các thư viện hệ thống khác thông qua các bản vá nhỏ gọn, liên tục thay vì gộp chung vào các bản cập nhật phần mềm lớn.
Danh sách phiên bản phần mềm cần kiểm tra
Bản vá lỗi đã được Apple giải quyết triệt để thông qua việc cải thiện cơ chế xác thực đầu vào (improved input validation). Lỗ hổng này ảnh hưởng đến phiên bản gốc iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 và macOS 26.3.2.
Để đảm bảo an toàn, hãy kiểm tra xem thiết bị của bạn đã được tự động cập nhật lên các phiên bản có hậu tố "(a)" sau đây chưa:
-
iPhone: Cần chạy phiên bản iOS 26.3.1 (a).
-
iPad: Cần chạy phiên bản iPadOS 26.3.1 (a).
-
Máy Mac: Cần chạy phiên bản macOS 26.3.1 (a) hoặc macOS 26.3.2 (a).
Sự ra đời của cơ chế cập nhật nền cho thấy Apple đang nỗ lực rút ngắn thời gian tồn tại của các lỗ hổng trên thiết bị của người dùng. Hãy luôn duy trì thói quen cập nhật phần mềm để bảo vệ dữ liệu cá nhân.
Hương - Theo TheHackerNews
Tin cùng chuyên mục
Xem tất cả »
Bản Cập Nhật Android Chặn Đứng 90% Mã Độc Khai Thác Quyền Trợ Năng
30/03/2026 08:00:00
.png)
Perseus Núp Bóng App Xem Phim Lậu Nhắm Thẳng Vào Ứng Dụng Ghi Chú Của Người Dùng
25/03/2026 08:00:00
Google Áp Dụng Lệnh Chờ 24 Giờ Khi Cài File APK Nhằm Chặn Đứng Mã Độc Lừa Đảo
23/03/2026 08:00:00
