Apple xác nhận phát hành bản cập nhật bảo mật mới cho người dùng iOS 26, cùng với iPadOS và macOS, nhằm khắc phục một lỗ hổng trong công nghệ WebKit – nền tảng được sử dụng trên Safari và nhiều trình duyệt khác. Đây cũng là lần đầu tiên hãng triển khai cơ chế “Cải thiện bảo mật nền” (Background Security Improvement). Tuy nhiên, bản vá chỉ được tự động cài đặt nếu người dùng đã bật các thiết lập liên quan.
Lỗ hổng được gán mã CVE-2026-20643, thuộc hệ thống Common Vulnerabilities and Exposures, và được đánh giá ở mức nghiêm trọng cao theo thang điểm CVSS. Theo OpenCVE, đây là lỗi “khác nguồn trong API điều hướng”, có thể bị khai thác thông qua nội dung web độc hại nhằm vượt qua Chính sách Cùng nguồn gốc (Same-Origin Policy) – cơ chế bảo mật quan trọng giúp ngăn các trang web truy cập trái phép dữ liệu của nhau.
Ảnh minh họa
Chuyên gia Adam Boynton, quản lý chiến lược doanh nghiệp cấp cao tại Jamf, cho biết việc khai thác lỗ hổng này có thể cho phép trang web độc hại truy cập dữ liệu từ các trang khác, làm gia tăng nguy cơ rò rỉ thông tin cá nhân. Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Thomas Espach và đã được Apple khắc phục thông qua cơ chế Cải thiện bảo mật nền, với việc bổ sung các biện pháp xác thực đầu vào.
Cơ chế mới này cho phép Apple phát hành các bản vá bảo mật “nhẹ” cho những thành phần quan trọng như thư viện hệ thống, Safari và WebKit mà không cần chờ đến các bản cập nhật hệ điều hành lớn. Nhờ đó, người dùng có thể được bảo vệ kịp thời trước các mối đe dọa mới.
Theo các chuyên gia, việc chậm trễ cập nhật có thể khiến thiết bị và dữ liệu của người dùng đối mặt với rủi ro bị tấn công. Do đó, người dùng nên bật chế độ cập nhật tự động để đảm bảo các bản vá được cài đặt ngay khi phát hành.
Bản cập nhật hiện áp dụng cho các phiên bản iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 và macOS 26.3.2. Apple khuyến nghị người dùng truy cập Cài đặt > Quyền riêng tư & Bảo mật > Cải thiện bảo mật nền và bật tùy chọn tự động cài đặt để đảm bảo thiết bị luôn được bảo vệ kịp thời.
