Apple Bất Ngờ Vá Lỗ Hổng Nguy Hiểm, Đe Dọa Ví Crypto Của Bạn

1. “Nguy cơ chỉ cần nhìn ảnh” – Lỗ hổng zero-day âm thầm tấn công

Apple vừa tung bản cập nhật khẩn cấp cho iOS, iPadOS và macOS để khắc phục lỗ hổng nghiêm trọng trong ImageIO (CVE-2025-43300).
Điểm yếu nằm ở phương thức xử lý ảnh, cho phép tin tặc tấn công chỉ qua việc mở hoặc xem ảnh — thậm chí không cần hành động từ người dùng (zero-click).

Apple xác nhận đã có những cuộc tấn công tinh vi nhắm vào một số cá nhân cụ thể thông qua lỗ hổng này.

---

2. Cụ thể lỗ hổng như thế nào?

Lỗi tồn tại trong ImageIO framework — thành phần dùng để xử lý hầu hết định dạng ảnh trên iPhone, iPad và Mac.
Một file ảnh độc hại có thể khai thác lỗi “out-of-bounds write,” dẫn đến truy cập sai vùng nhớ và cho phép kẻ tấn công thực thi mã trái phép.

3. Tại sao người dùng crypto cần đặc biệt lo ngại?

Người dùng crypto dễ trở thành mục tiêu vì:

• Giao dịch tiền mã hóa không thể đảo ngược: một khi khóa ví, seed phrase hoặc thông tin xác thực bị lấy cắp, tài sản có thể biến mất ngay.

• Tin tặc có thể trộm clipboard (chứa địa chỉ ví) hoặc quét ảnh trong máy để thu thập seed phrase/khóa bảo mật, đặc biệt nếu người dùng lưu ảnh nhạy cảm.

Điều này khiến lỗ hổng zero-click đặc biệt nguy hiểm với cộng đồng crypto.

4. Apple đã xử lý thế nào?

Apple đã phát hành bản vá cho:

• iOS 18.6.2

• iPadOS 18.6.2

• macOS Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8

Người dùng được khuyến cáo không chờ cập nhật tự động mà cần cập nhật ngay để bảo vệ thiết bị.

5. Khuyến nghị dành cho người dùng crypto

• Cập nhật hệ điều hành ngay lập tức để chặn nguy cơ tấn công.

• Người dùng có tài sản lớn nên cân nhắc chuyển seed phrase/khóa sang môi trường an toàn hơn nếu nghi ngờ thiết bị từng bị xâm nhập.

• Không lưu ảnh chứa seed phrase hoặc dữ liệu nhạy cảm trong thư viện ảnh.

• Giới hạn quyền truy cập clipboard và ảnh của những ứng dụng không cần thiết.

• Theo dõi thiết bị, nếu có dấu hiệu bất thường hãy hành động ngay.

Tóm tắt nhanh