เกี่ยวกับเนื้อหาความปลอดภัยของ iOS 18.7.3 และ iPadOS 18.7.3

เอกสารนี้อธิบายเนื้อหาความปลอดภัยของ iOS 18.7.3 และ iPadOS 18.7.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 18.7.3 และ iPadOS 18.7.3

เปิดตัวเมื่อวันที่ 12 ธันวาคม 2025

AppleJPEG

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad Pro รุ่น 13 นิ้ว, iPad Pro 12.9 นิ้ว รุ่นที่ 3 และใหม่กว่า, iPad Pro 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 7 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า

ผลกระทบ: การประมวลผลไฟล์อาจทำให้หน่วยความจำเสียหายได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2025-43539: Michael Reeves (@IntegralPilot)

Call History

ผลกระทบ: ผู้โจมตีอาจสามารถปลอมแปลง ID ผู้โทร FaceTime ได้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-46287: นักวิจัยนิรนามและ Riley Walz

curl

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-7264

CVE-2025-9086

FaceTime

ผลกระทบ: ช่องรหัสผ่านอาจเปิดเผยโดยไม่ได้ตั้งใจเมื่อควบคุมอุปกรณ์จากระยะไกลผ่าน FaceTime

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2025-43542: Yiğit Ocak

Foundation

ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2025-43532: Andrew Calvano และ Lucas Pinheiro จาก Meta Product Security

Icons

ผลกระทบ: แอปอาจสามารถระบุได้ว่าผู้ใช้ได้ติดตั้งแอปอื่นใดบ้าง

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

ผลกระทบ: แอปอาจเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-43512: Andreas Jaegersberger และ Ro Achterberg จาก Nosebeard Labs

Kernel

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขโดยการนำการประทับเวลา 64 บิตมาใช้

CVE-2025-46285: Kaitao Xie และ Xiaolong Bai จาก Alibaba Group

libarchive

ผลกระทบ: การประมวลผลไฟล์อาจทำให้หน่วยความจำเสียหายได้

CVE-2025-5918

ข้อความ

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมความเป็นส่วนตัวให้ดียิ่งขึ้น

CVE-2025-46276: Rosyna Keller จาก Totally Not Malicious Software

Screen Time

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น

CVE-2025-43538: Iván Savransky

การตั้งค่า

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-43530: Mickey Jin (@patch1t)

Telephony

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2025-46292: Rosyna Keller จาก Totally Not Malicious Software

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 300774

CVE-2025-43535: Nan Wang (@eternalsakura13), Google Big Sleep

อัปเดตรายการเมื่อวันที่ 17 ธันวาคม 2025

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 301257

CVE-2025-43541: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

WebKit

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 301371

CVE-2025-43501: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

WebKit

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 301726

CVE-2025-43536: Nan Wang (@eternalsakura13)

WebKit

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 301940

CVE-2025-43531: Phil Pizlo จาก Epic Games

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้ในการโจมตีบุคคลที่ตกเป็นเป้าหมายเฉพาะเจาะจงด้วยวิธีการที่ซับซ้อนอย่างยิ่งในเวอร์ชั่น iOS ก่อน iOS 26 CVE-2025-14174 ได้ออกเพื่อตอบสนองต่อรายงานนี้ด้วย

WebKit Bugzilla: 302502

CVE-2025-43529: Threat Analysis Group จาก Google

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้ในการโจมตีบุคคลที่ตกเป็นเป้าหมายเฉพาะเจาะจงด้วยวิธีการที่ซับซ้อนอย่างยิ่งในเวอร์ชั่น iOS ก่อน iOS 26 CVE-2025-43529 ได้ออกเพื่อตอบสนองต่อรายงานนี้ด้วย

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 303614

CVE-2025-14174: Threat Analysis Group จาก Apple และ Google

คำขอบคุณพิเศษ

Siri

เราขอขอบคุณ Richard Hyunho Im (@richeeta) จาก Route Zero Security (routezero.security) ที่ให้ความช่วยเหลือ

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 30 ธันวาคม 2568