Một lỗ hổng bảo mật nghiêm trọng trong iOS 18.6.1 đã được tiết lộ, cho thấy cách kẻ tấn công có thể khai thác các thiết bị Apple thông qua các file hình ảnh DNG được tạo đặc biệt. Lỗi này, hiện đã được vá trong iOS 18.6.2, chứng minh rằng ngay cả các biện pháp bảo mật tiên tiến của Apple cũng có thể bị vượt qua thông qua các vector tấn công không ngờ tới.
Lỗ hổng nằm sâu trong hệ thống xử lý hình ảnh của Apple, cụ thể là trong mã JPEG Lossless Decompression được sử dụng cho định dạng file DNG của Adobe. Các nhà nghiên cứu bảo mật đã phát hiện rằng bằng cách chỉ sửa đổi hai byte trong một file hình ảnh DNG hợp lệ, họ có thể kích hoạt một lỗi crash có khả năng dẫn đến thực thi mã từ xa.
Thông tin CVE:
- CVE ID: CVE-2025-43300
- Mức độ nghiêm trọng: Nghiêm trọng (thực thi mã từ xa không cần tương tác)
- Trạng thái: Đã bị khai thác tích cực trên thực tế trước khi có bản vá
- Bản cảnh báo bảo mật của Apple: Tài liệu hỗ trợ 124925
Phản ứng Khẩn cấp của Apple Báo hiệu Mức độ Nghiêm trọng
Phản ứng của Apple đối với lỗ hổng này diễn ra nhanh chóng và tập trung một cách bất thường. Công ty đã phát hành các bản cập nhật bảo mật khẩn cấp trên tất cả các hệ điều hành - iOS, iPadOS, macOS, tvOS và watchOS - với lỗi duy nhất này là bản sửa lỗi duy nhất được bao gồm. Sự khác biệt này so với thực tế thông thường của Apple khi gộp nhiều bản sửa lỗi bảo mật cho thấy công ty coi mối đe dọa này là đặc biệt nghiêm trọng.
Tính khẩn cấp trở nên rõ ràng hơn khi xem xét rằng lỗ hổng này đã được khai thác tích cực trong thực tế trước khi được vá. Không giống như nhiều lỗi bảo mật vẫn chỉ là lý thuyết, lỗi này đã được các kẻ tấn công sử dụng để xâm phạm các thiết bị thực tế.
Các hệ thống bị ảnh hưởng và phiên bản vá lỗi:
- iOS 18.6.2 (đã vá)
- iPadOS 17.7.10 và 18.6.2 (đã vá)
- macOS Ventura 13.7.8 (đã vá)
- macOS Sonoma 14.7.8 (đã vá)
- macOS Sequoia 15.6.1 (đã vá)
- tvOS và watchOS (đã có phiên bản vá lỗi)
Thách thức Kỹ thuật của Xử lý Hình ảnh
Xử lý hình ảnh từ lâu đã là điểm yếu trong bảo mật di động. Sự phức tạp của việc hỗ trợ nhiều định dạng file, kết hợp với nhu cầu về hiệu suất cao, tạo ra nhiều cơ hội cho các lỗi. Framework ImageIO của Apple, xử lý việc phân tích hình ảnh trên toàn hệ sinh thái, đã là mục tiêu thường xuyên của các nhà nghiên cứu bảo mật.
Điều khiến lỗ hổng cụ thể này đáng lo ngại là tính đơn giản của nó. Exploit chỉ cần sửa đổi hai byte cụ thể trong file DNG - thay đổi byte 0x2FD00 từ 01 thành 02, và byte 0x3E40B từ 02 thành 01. Sau khi được sửa đổi, file độc hại có thể được gửi thông qua AirDrop hoặc các phương thức chia sẻ file khác.
DNG (Digital Negative) là tiêu chuẩn mở của Adobe cho các file hình ảnh thô, thường được sử dụng bởi các nhiếp ảnh gia chuyên nghiệp và được iOS hỗ trợ nguyên bản.
Chi tiết kỹ thuật của lỗ hổng:
- Vị trí lỗ hổng: Mã giải nén JPEG Lossless của Apple trong RawCamera.bundle
- Định dạng tệp: Tệp Adobe DNG (Digital Negative)
- Phương thức khai thác: Sửa đổi hai byte cụ thể trong tệp DNG
- Byte 0x2FD00: Thay đổi từ 01 thành 02
- Byte 0x3E40B: Thay đổi từ 02 thành 01
- Phương thức phân phối: AirDrop , iMessage , hoặc các phương thức chia sẻ tệp khác
- Tác động: Ghi vượt quá giới hạn dẫn đến khả năng thực thi mã từ xa
Vượt xa các Crash Đơn giản
Trong khi bản proof-of-concept được công bố chỉ chứng minh một crash, các chuyên gia bảo mật lưu ý rằng các exploit thực tế sử dụng lỗ hổng này có khả năng đạt được nhiều hơn thế. Việc chuyển đổi một crash đơn giản thành việc xâm phạm thiết bị hoàn toàn đòi hỏi các kỹ thuật tinh vi để vượt qua các tính năng bảo mật hiện đại như Address Space Layout Randomization ( ASLR ) và Pointer Authentication Codes ( PAC ).
Việc Apple chỉ vá thành phần xử lý hình ảnh, thay vì nhiều thành phần hệ thống, đặt ra câu hỏi về cách các kẻ tấn công đạt được việc chiếm quyền điều khiển thiết bị hoàn toàn. Điều này cho thấy hoặc là các phần khác của chuỗi exploit đã được vá, hoặc phương pháp tấn công đầy đủ vẫn chưa được biết một phần.
Phát hiện và Phòng thủ của Cộng đồng
Cộng đồng bảo mật đã phản ứng nhanh chóng để giúp người dùng bảo vệ bản thân. Các công cụ phát hiện mới đã xuất hiện có thể quét các bản sao lưu iOS để tìm dấu hiệu của exploit này, cho phép người dùng kiểm tra xem thiết bị của họ có bị xâm phạm hay không. Các công cụ này sử dụng phân tích cấu trúc thay vì phát hiện dựa trên chữ ký truyền thống, khiến chúng hiệu quả hơn chống lại các biến thể của cuộc tấn công.
Để bảo vệ ngay lập tức, các chuyên gia bảo mật khuyến nghị bật iOS Lockdown Mode và khởi động lại thiết bị hàng ngày để xóa malware không liên tục. Mặc dù các biện pháp này có thể có vẻ cực đoan, chúng cung cấp sự bảo vệ mạnh mẽ chống lại các zero-click exploit không yêu cầu tương tác của người dùng.
Để phòng thủ iOS , hãy bật Lockdown Mode và khởi động lại hàng ngày để loại bỏ malware không liên tục.
Khám phá này làm nổi bật những thách thức đang diễn ra trong bảo mật di động, nơi sự tiện lợi của việc chia sẻ file liền mạch và hỗ trợ media phong phú tạo ra các bề mặt tấn công khó có thể loại bỏ hoàn toàn. Vì các định dạng hình ảnh vẫn tương đối ổn định theo thời gian, một số chuyên gia đề xuất chuyển sang các parser được xác minh chính thức được viết bằng các ngôn ngữ an toàn bộ nhớ để ngăn chặn toàn bộ các lớp lỗ hổng.
Sự cố này phục vụ như một lời nhắc nhở rằng ngay cả các hệ thống bảo mật tinh vi nhất cũng có thể có những điểm yếu không mong đợi, và cuộc chạy đua vũ trang giữa kẻ tấn công và người phòng thủ tiếp tục phát triển theo những cách đáng ngạc nhiên.
Tham khảo: iOS 18.6.1 0-click RCE POC