Ngày 16/4, Apple bất ngờ phát hành bản vá iOS 18.4.1 cùng nhiều hệ điều hành liên quan, trong đó có iPadOS, macOS, tvOS và visionOS. Điều đáng chú ý là toàn bộ bản cập nhật đều tập trung xử lý hai lỗ hổng bảo mật nghiêm trọng liên quan trực tiếp đến cơ chế xử lý luồng âm thanh – một trong những điểm nhạy cảm nhưng ít được để ý trong hệ sinh thái Apple.
Tổng quan về lỗ hổng: CVE-2025-31200 và CVE-2025-31201
CVE-2025-31200 – nằm trong CoreAudio framework, được đánh giá là lỗi memory corruption (hỏng bộ nhớ) do xử lý không đúng dữ liệu trong quá trình decode stream âm thanh. Lỗi này mở ra khả năng remote code execution (RCE) khi đối tượng độc hại (malformed media file) được phân tích và render bởi thiết bị đích.
CVE-2025-31201 – khai thác một lỗ hổng trong Remote Participant Audio Control (RPAC), cơ chế điều khiển âm thanh từ xa vốn được sử dụng trong các ứng dụng gọi nhóm. Kẻ tấn công có thể bypass Pointer Authentication (PAC) – một tính năng bảo vệ bộ nhớ phần cứng được Apple triển khai trên chip A-series và M-series – để thực hiện arbitrary read/write trong kernel space, làm suy yếu toàn bộ sandbox và bảo mật hệ thống.
CoreAudio là framework xử lý âm thanh trung tâm trong các thiết bị Apple. Khi một file âm thanh được decode và stream, CoreAudio đảm nhiệm cả phần demux, decode, và xử lý realtime.
Theo thông tin từ Apple và Google TAG, lỗ hổng nằm ở cách CoreAudio xử lý input buffer chứa thông tin về cấu trúc file media. Trường hợp không kiểm tra đúng boundary và định dạng, bộ giải mã sẽ bị ghi đè (buffer overflow hoặc use-after-free), cho phép attacker chèn shellcode và chiếm quyền kiểm soát tại user space hoặc thậm chí là kernel space tùy theo payload.
Lỗ hổng CVE-2025-31201 (RPAC) – vượt qua bảo vệ phần cứng PAC
PAC là một trong những công nghệ tiên tiến nhất Apple tích hợp để chống lại code reuse attack, đặc biệt là ROP (Return Oriented Programming). PAC ký tên các pointer quan trọng để ngăn kẻ tấn công can thiệp vào các lệnh nhảy và gọi hàm bằng địa chỉ giả mạo.
Tuy nhiên, trong lỗ hổng RPAC, attacker có thể gửi dữ liệu được thiết kế đặc biệt để qua mặt quy trình xác thực PAC (Pointer Authentication Code), mở đường cho việc truy cập tuỳ ý bộ nhớ, bao gồm các vùng chứa thông tin nhạy cảm hoặc thậm chí là ghi đè lệnh thực thi.
Đây là đòn đánh cực kỳ nguy hiểm vì nó phá vỡ trust boundary của PAC – vốn là tuyến phòng thủ cuối cùng sau sandbox.
Mức độ bị khai thác trong thực tế
Dù Apple không tiết lộ chi tiết về chiến dịch khai thác, cả hai lỗ hổng đều được ghi chú là “may have been actively exploited”, cụm từ thường chỉ ra sự tồn tại của zero-day tấn công có chủ đích (APT - Advanced Persistent Threats).
Theo thông lệ ngành, những lỗ hổng như vậy thường được sử dụng bởi các nhóm gián điệp mạng nhà nước hoặc nhóm hacker được tài trợ (ví dụ NSO Group, QuaDream...), thường nhắm vào nhà báo, nhà hoạt động, doanh nhân hoặc quan chức chính phủ.
Với mức độ nghiêm trọng của PAC bypass, khả năng đây là phần của một exploit chain nhiều bước, bao gồm cả RCE và privilege escalation – cho phép attacker chiếm toàn bộ thiết bị mà người dùng không hề hay biết.
Tác động hệ sinh thái và phản ứng của Apple
Việc phát hành bản vá đồng loạt trên nhiều nền tảng – iOS, iPadOS, macOS, visionOS và tvOS – cho thấy mức độ lan rộng của thành phần dễ tổn thương, phản ánh kiến trúc chia sẻ codebase giữa các hệ điều hành của Apple.
Dù không công bố chi tiết khai thác PoC hay timeline cụ thể, Apple khuyến cáo người dùng cập nhật khẩn cấp – động thái hiếm hoi chỉ xuất hiện khi có nguy cơ mất toàn quyền kiểm soát thiết bị.
Khuyến nghị cho người dùng và quản trị viên an ninh
- Cập nhật ngay lập tức tất cả thiết bị sử dụng iOS 18, iPadOS, macOS Sonoma hoặc các phiên bản liên quan.
- Giám sát log mạng để phát hiện các kết nối bất thường, đặc biệt là liên quan đến các ứng dụng media hoặc gọi nhóm.
- Đối với tổ chức có thiết bị BYOD (Bring Your Own Device), nên thực thi chính sách cập nhật bắt buộc trong vòng 24 giờ.
- Các chuyên gia bảo mật nên theo dõi bản phân tích chi tiết từ nhóm Project Zero (Google) nếu được công bố, để cập nhật cơ chế phòng vệ nội bộ.