เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 18.4 และ iPadOS 18.4

เอกสารฉบับนี้อธิบายเนื้อหาด้านความปลอดภัยของ iOS 18.4 และ iPadOS 18.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 18.4 และ iPadOS 18.4

เปิดตัวเมื่อวันที่ 31 มีนาคม 2025

Accessibility

มีให้สำหรับ: iPhone XS และใหม่กว่า, iPad Pro รุ่น 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 3 และใหม่กว่า, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 7 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น

CVE-2025-24202: Zhongcheng Li จาก IES Red Team ของ ByteDance

Accounts

ผลกระทบ: อาจเข้าถึงข้อมูลพวงกุญแจที่สำคัญจากข้อมูลสำรอง iOS ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจำกัดการเข้าถึงข้อมูลให้ดียิ่งขึ้น

CVE-2025-24221: Lehan Dilusha (@zafer) และนักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 28 พฤษภาคม 2025

AirDrop

ผลกระทบ: แอปอาจอ่านข้อมูลเมตาของไฟล์โดยพลการ

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-24097: Ron Masas จาก BREAKPOINT.SH

AirPlay

ผลกระทบ: ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์บนเครือข่ายเดียวกันกับ Mac ที่ลงชื่อเข้าใช้อาจส่งคำสั่ง AirPlay ไปยัง Mac เครื่องดังกล่าวได้โดยไม่ต้องจับคู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2025-24271: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายภายในอาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2025-24270: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายเฉพาะที่อาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-31202: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายเฉพาะที่อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24252: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายภายในอาจเลี่ยงนโยบายการตรวจสอบสิทธิ์ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-24206: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายเฉพาะที่อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-30445: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

AirPlay

ผลกระทบ: ผู้โจมตีบนเครือข่ายเฉพาะที่อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

Audio

ผลกระทบ: แอปอาจหลีกเลี่ยง ASLR ได้

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-43205: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2025

Audio

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2025-24244: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Audio

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้โค้ดโดยพลการ

CVE-2025-24243: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Authentication Services

ผลกระทบ: การป้อนรหัสผ่านอัตโนมัติอาจกรอกรหัสผ่านหลังจากตรวจสอบสิทธิ์ไม่ผ่าน

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-30430: Dominik Rath

Authentication Services

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถอ้างสิทธิ์ข้อมูลประจำตัว WebAuthn จากเว็บไซต์อื่นที่มีส่วนท้ายโดเมนที่ลงทะเบียนร่วมกันได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-24180: Martin Kreichgauer จาก Google Chrome

BiometricKit

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

อัปเดตรายการเมื่อวันที่ 28 พฤษภาคม 2025

Calendar

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดหมาย

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-24230: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreGraphics

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-31196: wac ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative

เพิ่มรายการเมื่อวันที่ 28 พฤษภาคม 2025

CoreMedia

ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

CVE-2025-24211: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreMedia

CVE-2025-24190: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreMedia Playback

ผลกระทบ: แอปที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) จาก Microsoft และนักวิจัยนิรนาม

CoreText

CVE-2025-24182: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CoreUtils

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-31203: Uri Katz (Oligo Security)

เพิ่มรายการเมื่อวันที่ 28 เมษายน 2025

curl

ผลกระทบ: ปัญหาเกี่ยวกับการตรวจสอบอินพุตได้รับการแก้ไขแล้ว

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-9681

DiskArbitration

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Focus

ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ที่ล็อคอาจสามารถดูข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-30439: Andr.Ess

Focus

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการล้างข้อมูลบันทึก

CVE-2025-30447: LFY@secsys จาก Fudan University

Handoff

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการเข้าถึงคอนเทนเนอร์ของข้อมูลให้ดียิ่งขึ้น

CVE-2025-30463: mzzzz__

ImageIO

ผลกระทบ: การแยกวิเคราะห์รูปภาพอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ข้อผิดพลาดตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2025-24210: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOGPUFamily

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2025-24257: Wang Yu จาก Cyberserval

Journal

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการกรองอินพุตให้ดียิ่งขึ้น

CVE-2025-30434: Muhammad Zaid Ghifari (Mr.ZheeV) และ Kalimantan Utara

Kernel

ผลกระทบ: แอปที่เป็นอันตรายอาจพยายามป้อนรหัสผ่านบนอุปกรณ์ที่ล็อค และทำให้เกิดการหน่วงเวลาที่เพิ่มขึ้นหลังจากล้มเหลว 4 ครั้ง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

ผลกระทบ: ปัญหาเกี่ยวกับการตรวจสอบอินพุตได้รับการแก้ไขแล้ว

CVE-2024-48958

libnetcore

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-24194: นักวิจัยนิรนาม

libxml2

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

CVE-2025-27113

CVE-2024-56171

libxpc

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

CVE-2025-24178: นักวิจัยนิรนาม

libxpc

ผลกระทบ: แอปอาจลบไฟล์ที่ไม่ได้รับอนุญาตให้ลบได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2025-31182: Alex Radocea และ Dave G. of Supernetworks, 风沐云烟(@binary_fmyy) และ Minghao Lin(@Y1nKoc)

libxpc

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับที่สูงขึ้นได้

CVE-2025-24238: นักวิจัยนิรนาม

Logging

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-31199: Jonathan Bar Or (@yo_yo_yo_jbo) จาก Microsoft, Alexia Wilson จาก Microsoft, Christine Fossaceca จาก Microsoft

เพิ่มรายการเมื่อวันที่ 28 พฤษภาคม 2025

Maps

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2025-30470: LFY@secsys จาก Fudan University

MobileLockdown

มีให้สำหรับ: iPad Pro 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 3 ขึ้นไป, iPad Pro 11 นิ้ว รุ่นที่ 1 ขึ้นไป, iPad Air รุ่นที่ 4 ขึ้นไป, iPad รุ่นที่ 10 ขึ้นไป และ iPad mini รุ่นที่ 6 ขึ้นไป

ผลกระทบ: ผู้โจมตีที่เชื่อมต่อ USB-C กับอุปกรณ์ที่ปลดล็อคอาจสามารถเข้าถึงภาพถ่ายโดยใช้โปรแกรมได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการยืนยันตัวตนที่มีประสิทธิภาพมากขึ้น

CVE-2025-24193: Florian Draschbacher

NetworkExtension

ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-30426: Jimmy

Photos

ผลกระทบ: อาจมีการดูรูปภาพในอัลบั้มรูปภาพที่ซ่อนอยู่ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์

CVE-2025-30428: Jax Reissner

Photos

ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ iOS ได้อาจสามารถเข้าถึงรูปภาพจากหน้าจอล็อคได้

CVE-2025-30469: Dalibor Milanovic

Power Services

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-24173: Mickey Jin (@patch1t)

RepairKit

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-24095: Mickey Jin (@patch1t)

Safari

ผลกระทบ: เว็บไซต์อาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้

CVE-2025-30466: Jaydev Ahire, @RenwaX23

เพิ่มรายการเมื่อวันที่ 28 พฤษภาคม 2025

Safari

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุง UI ให้ดียิ่งขึ้น

CVE-2025-24113: @RenwaX23

Safari

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-30467: @RenwaX23

Safari

ผลกระทบ: เว็บไซต์อาจสามารถเข้าถึงข้อมูลเซ็นเซอร์โดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2025-31192: Jaydev Ahire

Safari

ผลกระทบ: ต้นทางของการดาวน์โหลดอาจเชื่อมโยงกันอย่างไม่ถูกต้อง

CVE-2025-24167: Syarif Muhammad Sajjad

Sandbox Profiles

ผลกระทบ: แอปอาจสามารถอ่านหมายเลขระบุตัวเครื่องที่ค้างอยู่ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-24220: Wojciech Regula จาก SecuRing (wojciechregula.blog)

เพิ่มรายการเมื่อวันที่ 12 พฤษภาคม 2025

Security

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai จาก Alibaba Group, Luyi Xing จาก Indiana University Bloomington

Share Sheet

ผลกระทบ: แอปที่เป็นอันตรายอาจสามารถปิดการแจ้งเตือนของระบบบนหน้าจอล็อคที่แจ้งว่ามีการเริ่มบันทึก

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

ผลกระทบ: คำสั่งลัดอาจสามารถเข้าถึงไฟล์ที่โดยปกติไม่สามารถเข้าถึงแอป Shortcuts ได้

CVE-2025-30433: Andrew James Gonzalez

Siri

ผลกระทบ: ผู้โจมตีอาจสามารถใช้ Siri เพื่อเปิดใช้งานการรับสายอัตโนมัติได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2025-30436: Abhay Kailasia (@abhay_kailasia) จาก C-DAC Thiruvananthapuram India, Chi Yuan Chang จาก ZUSO ART และ taikosoup

เพิ่มรายการเมื่อวันที่ 12 พฤษภาคม 2025

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2025-24217: Kirin (@Pwnrin)

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการไม่บันทึกเนื้อหาของช่องข้อความ

CVE-2025-24214: Kirin (@Pwnrin)

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-24205: YingQi Shi(@Mas0nShi) จาก DBAppSecurity's WeBin lab และ Minghao Lin (@Y1nKoc)

Siri

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2025-24198: Richard Hyunho Im (@richeeta) ร่วมกับ routezero.security

Web Extensions

ผลกระทบ: แอปอาจเข้าถึงเครือข่ายภายในได้โดยไม่ได้รับอนุญาต

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2025-31184: Alexander Heinrich (@Sn0wfreeze), SEEMOO, TU Darmstadt และ Mathy Vanhoef (@vanhoefm) และ Jeroen Robben (@RobbenJeroen), DistriNet, KU Leuven

Web Extensions

ผลกระทบ: การเข้าดูเว็บไซต์อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการนำเข้าสคริปต์ได้รับการแก้ไขด้วยการปรับปรุงการแยกส่วน

CVE-2025-24192: Vsevolod Kokorin (Slonser) จาก Solidlab

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

WebKit Bugzilla: 285892

CVE-2025-24264: Gary Kwong และนักวิจัยนิรนาม

WebKit Bugzilla: 284055

CVE-2025-24216: Paul Bakker จาก ParagonERP

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 286462

CVE-2025-24209: Francisco Alonso (@revskills) และนักวิจัยนิรนาม

WebKit

ผลกระทบ: การโหลด iframe ที่เป็นอันตรายอาจทำให้เกิดการโจมตีแบบ cross-site Scripting

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

WebKit Bugzilla: 286381

CVE-2025-24208: Muhammad Zaid Ghifari (Mr.ZheeV) และ Kalimantan Utara

WebKit

WebKit Bugzilla: 285643

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดการเลือกชมแบบส่วนตัวของ Safari ได้

WebKit Bugzilla: 286580

CVE-2025-30425: นักวิจัยนิรนาม

คำขอบคุณพิเศษ

Accessibility

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College of Technology Bhopal India, Andr.Ess, Richard Hyunho Im (@richeeta) จาก routezero.security และ shane gallagher ที่ให้ความช่วยเหลือ

Accounts

เราขอขอบคุณ Bohdan Stasiuk (@bohdan_stasiuk) ที่ให้ความช่วยเหลือ

Apple Account

เราขอขอบคุณ Byron Fecho ที่ให้ความช่วยเหลือ

FaceTime

เราขอขอบคุณบุคคลนิรนาม, Dohyun Lee (@l33d0hyun) จาก USELab, Korea University และ Youngho Choi จาก CEL, Korea University และ Geumhwan Cho จาก USELab, Korea University ที่ให้ความช่วยเหลือ

Find My

เราขอขอบคุณ 神罚(@Pwnrin) ที่ให้ความช่วยเหลือ

Foundation

เราขอขอบคุณ Jann Horn จาก Google Project Zero ที่ให้ความช่วยเหลือ

Handoff

เราขอขอบคุณ Kirin และ FlowerCode ที่ให้ความช่วยเหลือ

HearingCore

เราขอขอบคุณ Kirin@Pwnrin และ LFY@secsys จาก Fudan University ที่ให้ความช่วยเหลือ

Home

เราขอขอบคุณ Hasan Sheet ที่ให้ความช่วยเหลือ

ImageIO

เราขอขอบคุณ D4m0n ที่ให้ความช่วยเหลือ

Mail

เราขอขอบคุณ Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau จาก The Chinese University of Hong Kong, K宝 และ LFY@secsys จาก Fudan University ที่ให้ความช่วยเหลือ

Messages

เราขอขอบคุณ parkminchan จาก Korea Univ. ที่ให้ความช่วยเหลือ

Notes

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal ที่ให้ความช่วยเหลือ

Passwords

เราขอขอบคุณ Stephan Davidson, Tim van Dijen จาก SimpleSAMLphp ที่ให้ความช่วยเหลือ

Photos

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก LNCT Bhopal และ C-DAC Thiruvananthapuram India, Abhishek Kanaujia, Bistrit Dahal, Dalibor Milanovic, Himanshu Bharti, Srijan Poudel ที่ให้ความช่วยเหลือ

Photos Storage

เราขอขอบคุณ Aakash Rayapur, Ahmed Mahrous, Bistrit Dahal, Finley Drewery, Henning Petersen, J T, Nilesh Mourya, Pradip Bhattarai, Pranav Bantawa และ Pranay Bantawa, Sai Tarun Aili, Stephen J Lalremruata, Вячеслав Погорелов และนักวิจัยนิรนามที่ให้ความช่วยเหลือ

อัปเดตรายการเมื่อวันที่ 28 พฤษภาคม 2025

Safari

เราขอขอบคุณ George Bafaloukas (george.bafaloukas@pingidentity.com) และ Shri Hunashikatti (sshpro9@gmail.com) ที่ให้ความช่วยเหลือ

Safari Extensions

เราขอขอบคุณ Alisha Ukani, Pete Snyder, Alex C. Snoeren ที่ให้ความช่วยเหลือ

Safari Private Browsing

เราขอขอบคุณ Charlie Robinson ที่ให้ความช่วยเหลือ

Sandbox Profiles

เราขอขอบคุณ Benjamin Hornbeck ที่ให้ความช่วยเหลือ

SceneKit

เราขอขอบคุณ Marc Schoenefeld, Dr. rer. nat. ที่ให้ความช่วยเหลือ

Screen Time

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal ที่ให้ความช่วยเหลือ

Security

เราขอขอบคุณ Kevin Jones (GitHub) ที่ให้ความช่วยเหลือ

Settings

เราขอขอบคุณ Abhay Kailasia (@abhay_kailasia) จาก C-DAC Thiruvananthapuram India, Joaquin Ruano Campos และ Lucas Monteiro ที่ให้ความช่วยเหลือ

Shortcuts

เราขอขอบคุณ Chi Yuan Chang of ZUSO ART และ taikosoup และนักวิจัยนิรนามที่ให้ความช่วยเหลือ

Siri

เราขอขอบคุณ Lyutoon ที่ให้ความช่วยเหลือ

srd_tools

เราขอขอบคุณ Joshua van Rijswijk, Micheal ogaga และ hitarth shah ที่ให้ความช่วยเหลือ

Status Bar

เราขอขอบคุณ J T, Richard Hyunho Im (@r1cheeta), Suraj Sawant ที่ให้ความช่วยเหลือ

Translations

เราขอขอบคุณ K宝(@Pwnrin) ที่ให้ความช่วยเหลือ

Wallet

เราขอขอบคุณ Aqib Imran ที่ให้ความช่วยเหลือ

WebKit

เราขอขอบคุณ Gary Kwong, Jesse Stolwijk, P1umer (@p1umer) และ Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang และ Daoyuan Wu จาก HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) จาก VXRL, Wong Wai Kin, Dongwei Xiao และ Shuai Wang จาก HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) จาก VXRL., Xiangwei Zhang จาก Tencent Security YUNDING LAB, 냥냥 และนักวิจัยนิรนามที่ให้ความช่วยเหลือ

Writing Tools

เราขอขอบคุณ Richard Hyunho Im (@richeeta) จาก Route Zero Security ที่ให้ความช่วยเหลือ

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 4 สิงหาคม 2568