Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để vá lỗ hổng zero-day CVE-2026-20700, vốn đã bị khai thác trong các cuộc tấn công mạng tinh vi nhắm vào một số người dùng cụ thể.
Bản vá áp dụng cho nhiều nền tảng gồm iOS, iPadOS, macOS, tvOS, watchOS và visionOS. Lỗ hổng liên quan tới lỗi hỏng bộ nhớ, có thể cho phép kẻ tấn công thực thi mã độc nếu khai thác thành công, vì vậy việc cập nhật sớm là cần thiết để giảm rủi ro.
- Apple vá zero-day CVE-2026-20700 đã bị khai thác trong tấn công có chủ đích.
- Google phân tích lỗi hỏng bộ nhớ trong dyld, có thể dẫn tới thực thi lệnh/mã tùy ý.
- Danh sách bản cập nhật trải rộng nhiều thiết bị và phiên bản hệ điều hành, gồm cả bản vá cho thiết bị đời cũ.
Apple vá zero-day CVE-2026-20700 đã bị khai thác
Lỗ hổng CVE-2026-20700 được Apple xác nhận có thể đã bị khai thác trong các cuộc tấn công cực kỳ tinh vi nhắm vào một số cá nhân, và đã được vá bằng các bản cập nhật khẩn cấp trên nhiều hệ điều hành.
Theo thông tin từ Apple, CVE-2026-20700 có thể cho phép kẻ tấn công chạy mã độc trên thiết bị bị ảnh hưởng nếu khai thác thành công. Các bản vá được phát hành cho iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS.
Nhóm Threat Analysis của Google cho biết CVE-2026-20700 gây hỏng bộ nhớ trong dyld (Dynamic Link Editor) của Apple. Nếu kẻ tấn công có khả năng ghi vào bộ nhớ thiết bị, họ có thể lợi dụng lỗi này để thực thi các lệnh tùy ý. Apple cho biết đội ngũ bảo mật nội bộ đã phối hợp với các nhà phân tích trong quá trình điều tra.
“Apple biết về một báo cáo cho thấy vấn đề này có thể đã bị khai thác trong một cuộc tấn công cực kỳ tinh vi nhằm vào các cá nhân cụ thể trên các phiên bản iOS trước iOS 26.”
– Apple, thông báo tư vấn bảo mật
Google nhận định lỗ hổng liên quan đến dyld và rủi ro thực thi mã
Phân tích của Google chỉ ra lỗi hỏng bộ nhớ trong dyld có thể bị chuyển hóa thành khả năng thực thi mã nếu kẻ tấn công đạt được điều kiện ghi bộ nhớ, khiến đây là zero-day có mức độ nguy hiểm cao.
Dyld là thành phần quan trọng trong cơ chế nạp và liên kết động của hệ điều hành Apple. Khi xảy ra hỏng bộ nhớ tại lớp này, tác động có thể lan rộng vì dyld tham gia vào quá trình chạy nhiều ứng dụng và thành phần hệ thống.
Theo mô tả kỹ thuật, kịch bản tấn công khả thi được nhấn mạnh là “khả năng ghi vào bộ nhớ thiết bị”. Khi điều kiện này được đáp ứng, kẻ tấn công có thể sử dụng lỗ hổng để thực thi lệnh tùy ý, từ đó mở đường cho cài mã độc hoặc leo thang hành vi tấn công trên thiết bị.
CVE-2026-20700 nằm trong chuỗi vấn đề đã từng được vá trước đó
Ghi chú cập nhật của Apple cho thấy zero-day này thuộc một nhóm lỗ hổng đã được phát hiện và xử lý theo từng giai đoạn, với các lỗi liên quan từng được vá vào cuối tháng 12.
Theo ghi chú bản vá của Apple tại trang hỗ trợ, CVE-2026-20700 nằm trong một tập lỗ hổng đã được nhận diện trước đó. Hai lỗi liên quan là CVE-2025-14174 và CVE-2025-43529 đã được sửa vào cuối tháng 12.
CVE-2025-14174 được mô tả là lỗi truy cập bộ nhớ ngoài phạm vi (out-of-bounds) trong thành phần Metal renderer của ANGLE. Metal là framework đồ họa và tính toán tăng tốc phần cứng của Apple.
CVE-2025-43529 xuất phát từ lỗi use-after-free trong WebKit. Kẻ tấn công có thể khai thác thông qua nội dung web được thiết kế đặc biệt để kích hoạt thực thi mã trên thiết bị nạn nhân.
Một vấn đề nghiêm trọng khác liên quan CoreMedia, framework xử lý âm thanh và video. Kẻ tấn công có thể gửi các tệp được tạo ác ý tới iPhone mục tiêu, và khi hệ thống xử lý, có thể dẫn đến điều kiện từ chối dịch vụ (DoS) hoặc làm lộ dữ liệu riêng tư từ bộ nhớ thiết bị.
Phân tích của Google cho rằng các lỗ hổng này nhiều khả năng đã được triển khai trong các chiến dịch spyware nhắm mục tiêu, chẳng hạn nhằm vào nhà hoạt động, nhà báo hoặc quan chức chính phủ.
Thiết bị và phiên bản hệ điều hành nhận bản cập nhật
Apple phát hành cập nhật bảo mật cho cả thiết bị mới và cũ, bao gồm iOS 26.3/iPadOS 26.3, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3, visionOS 26.3 và các bản vá riêng cho hệ điều hành đời trước.
Apple phát hành iOS 26.3 và iPadOS 26.3 cho iPhone 11 trở lên, cùng nhiều thế hệ iPad. Máy Mac chạy macOS Tahoe nhận bản 26.3, trong khi Apple TV nhận tvOS 26.3. Apple Watch Series 6 trở lên nhận watchOS 26.3.
Apple cũng phát hành visionOS 26.3 cho toàn bộ thiết bị Vision Pro. Với thiết bị đời cũ, bản vá được cung cấp qua iOS 18.7.5, macOS Sequoia 15.7.4, macOS Sonoma 14.8.4 và Safari 26.3.
Theo Apple, sự cố đã được khắc phục thông qua việc cải thiện quản lý bộ nhớ trong bản iOS mới nhất. Ngoài ra, các lỗ hổng khác cũng được vá ở nhiều khu vực hệ thống như Game Center, ImageIO, kernel hệ điều hành, cùng các thành phần Live Caption, Photos, Spotlight, Shortcuts và StoreKit.
Kế hoạch nâng cấp Siri bị lùi do vấn đề kiểm thử
Cùng thời điểm phát hành bản vá bảo mật, Apple được cho là đang điều chỉnh lộ trình nâng cấp Siri vì kiểm thử gặp vấn đề, khiến một số tính năng dự kiến có thể bị dời sang các bản cập nhật sau.
Apple từng dự tính ra mắt các tính năng Siri mới trong bản phát hành phần mềm dự kiến vào tháng 3. Tuy nhiên, theo những người am hiểu vấn đề, các trục trặc trong kiểm thử đã buộc hãng phải xem xét lại mốc thời gian, và một số tính năng có thể bị trì hoãn tới các bản cập nhật tiếp theo.
Ban đầu Apple dự kiến đưa các năng lực Siri được nâng cấp vào iOS 26.4. Dù lịch phát hành tháng 3 không đổi, một số chức năng sẽ bị loại khỏi bản cập nhật. Các kỹ sư đang kiểm thử các tính năng mới trong iOS 26.5, dự kiến đến vào tháng 5, và nhiều nâng cấp khác có thể tiếp tục lùi tới iOS 27 vào tháng 9.
Khi lần đầu giới thiệu vào tháng 6/2024, Siri được trình diễn khả năng phân tích nội dung trên màn hình và điều khiển bằng giọng nói chính xác hơn trên cả ứng dụng của Apple và ứng dụng bên thứ ba. Apple từng kỳ vọng cung cấp các tính năng này vào đầu năm 2025, sau đó dời sang một mốc chưa xác định trong năm 2026.
Những câu hỏi thường gặp
CVE-2026-20700 là gì và nguy hiểm ở điểm nào?
Đây là lỗ hổng zero-day có thể dẫn đến thực thi mã độc, đã bị khai thác trong các cuộc tấn công tinh vi. Google cho biết lỗi gây hỏng bộ nhớ trong dyld, và nếu kẻ tấn công ghi được vào bộ nhớ thiết bị, họ có thể thực thi lệnh tùy ý.
Những hệ điều hành nào của Apple được vá trong đợt cập nhật này?
Apple phát hành bản vá cho iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS. Ngoài ra còn có các bản cập nhật cho thiết bị cũ thông qua iOS 18.7.5, macOS Sequoia 15.7.4, macOS Sonoma 14.8.4 và Safari 26.3.
Thiết bị nào được hỗ trợ iOS 26.3 và iPadOS 26.3?
iOS 26.3 được phát hành cho iPhone 11 và các mẫu mới hơn. iPadOS 26.3 áp dụng cho nhiều thế hệ iPad (Apple không liệt kê chi tiết trong nội dung này).
Vì sao các lỗ hổng này liên quan đến tấn công có chủ đích?
Apple thừa nhận lỗ hổng có thể đã bị khai thác trong tấn công “cực kỳ tinh vi” nhắm vào một số cá nhân. Phân tích của Google cũng cho rằng các lỗ hổng có khả năng được triển khai trong chiến dịch spyware nhắm tới nhà hoạt động, nhà báo hoặc quan chức.
