Hơn 60 lỗ hổng nghiêm trọng được vá trên iOS 26.5
Apple vừa phát hành bản cập nhật iOS 26.5, khắc phục hơn 60 lỗ hổng bảo mật trên iPhone, trong đó có nhiều lỗi được đánh giá nghiêm trọng. Tuy nhiên, hãng không công bố quá nhiều chi tiết về các lỗ hổng này nhằm tạo thời gian để người dùng cập nhật thiết bị trước khi tin tặc kịp khai thác thông tin kỹ thuật.
Theo danh sách vá lỗi của Apple, iOS 26.5 bao gồm sáu bản vá liên quan đến nhân hệ điều hành iOS. Đáng chú ý là lỗ hổng CVE-2026-28951, có khả năng cho phép ứng dụng giành quyền truy cập root trên thiết bị. Ngoài ra, bản cập nhật cũng xử lý khoảng 10 lỗi trong WebKit – nền tảng vận hành trình duyệt Safari.
Nhiều chuyên gia cho rằng các lỗ hổng trong iOS 26.5 có thể bị kết hợp để tạo thành chuỗi tấn công nguy hiểm. Trong số các lỗi WebKit được vá có CVE-2026-43660 và CVE-2026-28907, cho phép nội dung web độc hại vượt qua Chính sách Bảo mật Nội dung (Content Security Policy). Một lỗi khác mang mã CVE-2026-28962 có thể khiến người dùng vô tình làm lộ thông tin nhạy cảm khi tương tác với trang web độc hại.
Apple vừa phát hành bản cập nhật iOS 26.5. Ảnh minh hoạ
Bên cạnh đó, lỗ hổng CVE-2026-28995 trong App Intents có thể cho phép ứng dụng độc hại thoát khỏi môi trường bảo vệ sandbox của iOS.
Ông Adam Boynton, quản lý chiến lược doanh nghiệp cấp cao tại Jamf, nhận định việc xuất hiện đồng thời các lỗ hổng WebKit, lỗi bộ nhớ kernel và lỗi thoát sandbox phản ánh đúng xu hướng tấn công trên thiết bị di động hiện nay. Theo ông, đây là những thành phần thường bị kết hợp với nhau để tạo nên các cuộc tấn công phức tạp.
Dù chưa có bằng chứng cho thấy các lỗ hổng này đang bị khai thác ngoài thực tế, Boynton cho biết một số lỗi được phát hiện bởi những tổ chức nghiên cứu lớn. Trong đó, lỗ hổng kernel CVE-2026-28943 được cho là do Nhóm Phân tích Mối đe dọa của Google phát hiện, còn lỗi WebKit CVE-2026-28942 được xác định bởi các nhà nghiên cứu của Anthropic phối hợp cùng Claude AI.
Điều này cho thấy trí tuệ nhân tạo đang ngày càng đóng vai trò quan trọng trong việc phát hiện lỗ hổng bảo mật. Tuy nhiên, giới chuyên gia cũng cảnh báo các công cụ AI có thể bị tội phạm mạng lợi dụng để tăng tốc độ và quy mô tấn công, khiến việc cập nhật thiết bị trở nên cấp thiết hơn bao giờ hết.
Apple mở rộng cập nhật cho nhiều dòng iPhone, iPad và Mac
Ngoài iOS 26.5, Apple cũng phát hành iOS 18.7.9 cho các mẫu iPhone đời cũ với nhiều bản vá tương tự. Điều này đồng nghĩa các phiên bản iOS 18.7.7 và 18.7.8 trước đó chỉ mang tính tạm thời do mức độ nghiêm trọng của các lỗ hổng.
iOS 26.5 hiện hỗ trợ iPhone 11 trở lên, cùng nhiều mẫu iPad mới. Trong khi đó, iOS 18.7.9 chỉ dành cho iPhone XS, iPhone XS Max, iPhone XR và iPad thế hệ thứ 7.
Bản cập nhật mới được tung ra chỉ vài tuần sau iOS 26.4.2 – phiên bản vá khẩn cấp xử lý lỗi thông báo có thể khiến người khác đọc được nội dung đã xóa. Trước đó, iOS 26.4 cũng từng bổ sung tới 37 bản vá bảo mật.
Ảnh minh hoạ
Ngoài các bản vá an ninh, iOS 26.5 còn sửa nhiều lỗi hệ thống và tối ưu hiệu năng. Phản hồi từ người dùng hiện khá trái chiều. Một số người dùng Reddit cho biết thời lượng pin được cải thiện đáng kể, trong khi số khác lại phản ánh hiện tượng hao pin và giật lag trên màn hình chính.
Song song với iOS 26.5, Apple còn phát hành hàng loạt bản cập nhật khác như iPadOS 17.7.11, iOS 16.7.16, iPadOS 16.7.16, iOS 15.8.8 và iPadOS 15.8.8 cho các thiết bị đời cũ hơn. Hãng cũng tung ra macOS Tahoe 26.5, macOS Sequoia 15.7.7, tvOS 26.5, watchOS 26.5 và visionOS 26.5 cho hệ sinh thái thiết bị Apple.
iOS 26.5 bổ sung RCS, tăng bảo mật nhắn tin giữa iPhone và Android
Một trong những tính năng đáng chú ý nhất trên iOS 26.5 là hỗ trợ nhắn tin RCS. Trước đây, tin nhắn giữa iPhone và Android không được mã hóa đầu cuối như iMessage. Với iOS 26.5, Apple đã hợp tác cùng Google để triển khai chuẩn RCS có mã hóa đầu cuối ở giai đoạn beta, áp dụng cho các nhà mạng hỗ trợ tính năng này.
Người dùng có thể nhận biết cuộc trò chuyện RCS được mã hóa thông qua biểu tượng khóa xuất hiện trong khung chat. Apple cho biết tính năng mã hóa sẽ được bật mặc định và tự động áp dụng cho cả cuộc trò chuyện mới lẫn cũ.
Để kiểm tra nhà mạng có hỗ trợ RCS hay không, người dùng có thể vào Cài đặt > Chung > Giới thiệu > Nhà mạng. Nếu hỗ trợ, mục RCS sẽ xuất hiện cùng thông tin thoại và SMS. Ngoài ra, người dùng cũng có thể bật tính năng bằng cách vào Cài đặt > Ứng dụng > Tin nhắn > Tin nhắn RCS.
Với iOS 26.5, Apple đã hợp tác cùng Google để triển khai chuẩn RCS có mã hóa đầu cuối ở giai đoạn beta. Ảnh minh hoạ
Tuy nhiên, RCS chỉ hoạt động khi cả hai bên đều hỗ trợ chuẩn này. Trong trường hợp đối phương không sử dụng RCS, cuộc trò chuyện sẽ không được mã hóa đầu cuối. Vì vậy, nhiều chuyên gia hiện vẫn khuyến nghị sử dụng các ứng dụng như WhatsApp hoặc Signal để đảm bảo bảo mật cao hơn.
Ông Jake Moore, cố vấn an ninh mạng toàn cầu tại ESET, cảnh báo rằng các lỗ hổng WebKit đặc biệt nguy hiểm vì người dùng chỉ cần truy cập vào một trang web độc hại là có thể bị tấn công mà không cần tải xuống hay thao tác thêm.
Theo ông, số lượng bản vá lớn trong iOS 26.5 là dấu hiệu cho thấy người dùng nên cập nhật thiết bị càng sớm càng tốt để tránh nguy cơ bị khai thác.
