เกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 26.1
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 26.1
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
visionOS 26.1
เปิดตัวเมื่อวันที่ 3 พฤศจิกายน 2025
Apple Account
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถถ่ายภาพหน้าจอแสดงข้อมูลที่ละเอียดอ่อนในมุมมองแบบฝัง
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-43455: Ron Masas จาก BreakPoint.SH, Pinak Oza
Apple Neural Engine
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43447: นักวิจัยนิรนาม
CVE-2025-43462: นักวิจัยนิรนาม
AppleMobileFileIntegrity
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2025-43407: JZ
Audio
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ที่ปลดล็อคและเชื่อมต่อกับ Mac ได้ อาจสามารถดูข้อมูลส่วนตัวที่สำคัญของผู้ใช้จากบันทึกระบบได้
คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น
CVE-2025-43423: Duy Trần (@khanhduytran0)
CloudKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43436: Zhongcheng Li จาก IES Red Team ของ ByteDance
CoreText
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43445: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
FileProvider
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-43498: pattern-f (@pattern_F_)
Find My
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อน
CVE-2025-43507: iisBuri
Installer
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43444: Zhongcheng Li จาก IES Red Team ของ ByteDance
Kernel
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43398: Cristian Dinca (icmd.tech)
Kernel
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเป็นเหตุให้เกิดการเปลี่ยนแปลงที่ไม่คาดคิดในหน่วยความจำที่แชร์ระหว่างกระบวนการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสถานะการล็อคให้ดียิ่งขึ้น
CVE-2025-43510: Apple
เพิ่มรายการเมื่อวันที่ 12 ธันวาคม 2025
Kernel
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจทำให้เกิดการยุติระบบหรือการเขียนหน่วยความจำของเคอร์เนลโดยไม่คาดหมาย
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43520: Apple
เพิ่มรายการเมื่อวันที่ 12 ธันวาคม 2025
libxpc
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอป Sandbox อาจสามารถดูการเชื่อมต่อเครือข่ายทั้งระบบได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดแซนด์บ็อกซ์
CVE-2025-43413: Dave G. และ Alex Radocea จาก supernetworks.org
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีอาจสามารถทำการโจมตีที่ทำให้บริการไม่สามารถใช้งานได้อย่างถาวร
คำอธิบาย: ปัญหาการแยกวิเคราะห์ส่วนหัวเมลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-43494: Taavi Eomäe จาก Zone Media (zone.ee)
เพิ่มรายการเมื่อวันที่ 12 ธันวาคม 2025
Mail Drafts
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: คอนเทนต์ระยะไกลอาจโหลดแม้ว่าการตั้งค่า "โหลดอิมเมจระยะไกล" จะปิดอยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มตรรกะ
CVE-2025-43496: Romain Lebesle, Himanshu Bharti @Xpl0itme From Khatima
Model I/O
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43386: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43385: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43384: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43383: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
Notes
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยลบโค้ดที่มีความเสี่ยง
CVE-2025-43389: Kirin (@Pwnrin)
On-device Intelligence
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน
CVE-2025-43439: Zhongcheng Li จาก IES Red Team ของ ByteDance
Safari
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2025-43493: @RenwaX23
Safari
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-43503: @RenwaX23
Safari
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน
CVE-2025-43502: นักวิจัยนิรนาม
Sandbox Profiles
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการตั้งค่าผู้ใช้
CVE-2025-43500: Stanislav Jelezoglo
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 299843
CVE-2025-43443: นักวิจัยนิรนาม
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen จาก Google
WebKit Bugzilla: 298851
CVE-2025-43425: นักวิจัยนิรนาม
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 297662
CVE-2025-43438: rheza (@ginggilBesel), shandikri ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative
WebKit Bugzilla: 298606
CVE-2025-43457: Gary Kwong, Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
WebKit Bugzilla: 297958
CVE-2025-43434: Google Big Sleep
อัปเดตรายการเมื่อวันที่ 12 ธันวาคม 2025
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาหลายรายการได้รับการแก้ไขโดยการปิดการทำงานของการเลื่อนตำแหน่งการจัดสรรอาร์เรย์
WebKit Bugzilla: 300718
CVE-2025-43421: Nan Wang (@eternalsakura13)
WebKit Canvas
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: เว็บไซต์อาจสามารถดึงข้อมูลภาพข้ามโดเมนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
คำขอบคุณพิเศษ
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
MobileInstallation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bubble Zhang
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Barath Stalin K และ Syarif Muhammad Sajjad
อัปเดตรายการเมื่อวันที่ 12 ธันวาคม 2025
Safari Downloads
เราขอขอบคุณสำหรับความช่วยเหลือจาก Saello Puza และ Syarif Muhammad Sajjad
อัปเดตรายการเมื่อวันที่ 12 ธันวาคม 2025
Shortcuts
เราขอขอบคุณสำหรับความช่วยเหลือจาก BanKai, Benjamin Hornbeck, Chi Yuan Chang จาก ZUSO ART และ taikosoup, Ryan May, Andrew James Gonzalez และนักวิจัยนิรนาม
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Enis Maholli (enismaholli.com), Google Big Sleep
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม