เกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 26
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 26
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
visionOS 26
เผยแพร่เมื่อวันที่ 15 กันยายน 2025
AppleMobileFileIntegrity
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43317: Mickey Jin (@patch1t)
Apple Neural Engine
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43344: นักวิจัยนิรนาม
Audio
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43346: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro
Audio
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปที่ประสงค์ร้ายอาจอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43361: Michael Reeves (@IntegralPilot)
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
Bluetooth
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น
CVE-2025-43354: Csaba Fitzl (@theevilbit) จาก Kandji
CVE-2025-43303: Csaba Fitzl (@theevilbit) จาก Kandji
CloudKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม
CVE-2025-43323: Yinyi Wu (@_3ndy1) จาก Dawn Security Lab จาก JD.com, Inc
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
CoreAudio
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2025-43349: @zlluny ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreMedia
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2025-43372: 이동하 (Lee Dong Ha) จาก SSA Lab
DiskArbitration
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปที่ประสงค์ร้ายอาจได้รับสิทธิ์ระดับรูท
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43316: Csaba Fitzl (@theevilbit) of Kandji และนักวิจัยนิรนาม
IOHIDFamily
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43302: Keisuke Hosoda
Kernel
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: ซ็อกเก็ตเซิร์ฟเวอร์ UDP ที่ผูกกับอินเทอร์เฟซภายในอาจผูกกับอินเทอร์เฟซทั้งหมด
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-43359: Viktor Oreshkin
Kernel
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความถูกต้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-43345: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
MobileStorageMounter
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43355: Dawuge จาก Shuffle Team
Spell Check
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น
CVE-2025-43190: Noah Gregory (wts.dev)
SQLite
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลไฟล์อาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2025-6965
System
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: ปัญหาเกี่ยวกับการตรวจสอบอินพุตได้รับการแก้ไขแล้ว
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: เว็บไซต์อาจสามารถเข้าถึงข้อมูลเซ็นเซอร์โดยไม่ได้รับความยินยอมจากผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
WebKit Bugzilla: 296153
CVE-2025-43356: Jaydev Ahire
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 294550
CVE-2025-43272: Big Bear
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 296490
CVE-2025-43343: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาความถูกต้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 296042
CVE-2025-43342: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 293895
CVE-2025-43419: Ignacio Sanmillan (@ulexec)
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
WebKit
มีให้สำหรับ: Apple Vision Pro
ผลกระทบ: ผู้โจมตีระยะไกลอาจดูคำขอ DNS ที่รั่วไหลได้ขณะที่ Private Relay เปิดทำงานอยู่
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell จาก grepular.com, Bob Lord
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
คำขอบคุณพิเศษ
AuthKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Rosyna Keller จาก Totally Not Malicious Software
Calendar
เราขอขอบคุณสําหรับความช่วยเหลือจาก Keisuke Chinone (Iroiro) และ Rosyna Keller จาก Totally Not Malicious Software
อัปเดตรายการเมื่อวันที่ 26 พฤษภาคม 2026
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Kohlschütter
Core Bluetooth
เราขอขอบคุณสำหรับความช่วยเหลือจาก Leon Böttger
เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2025
Control Center
เราขอขอบคุณสำหรับความช่วยเหลือจาก Damitha Gunawardena
CoreMedia
เราขอขอบคุณสำหรับความช่วยเหลือจาก Noah Gregory (wts.dev)
darwinOS
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)
Files
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tyler Montgomery
Foundation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji
ImageIO
เราขอขอบคุณสำหรับความช่วยเหลือจาก DongJun Kim (@smlijun) และ JongSeong Kim (@nevul37) ใน Enki WhiteHat
IOGPUFamily
เราขอขอบคุณสำหรับความช่วยเหลือจาก Wang Yu จาก Cyberserval
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Sungwoo Kim, Yepeng Pan, Prof. Dr. Christian Rossow
อัปเดตรายการเมื่อวันที่ 26 พฤษภาคม 2026
libc
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)
libpthread
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)
mDNSResponder
เราขอขอบคุณสำหรับความช่วยเหลือจาก Barrett Lyon
Networking
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji
Notes
เราขอขอบคุณสำหรับความช่วยเหลือจาก Atul R V
Passwords
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Kohlschütter
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Ameen Basha M K
Sandbox Profiles
เราขอขอบคุณสำหรับความช่วยเหลือจาก Rosyna Keller จาก Totally Not Malicious Software
Spotlight
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Scalese
Transparency
เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Regula จาก SecuRing (wojciechregula.blog), 要乐奈
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Matthew Liang
อัปเดตรายการเมื่อวันที่ 3 พฤศจิกายน 2025
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) จาก Kandji, Noah Gregory (wts.dev), Wojciech Regula จาก SecuRing (wojciechregula.blog), นักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม