เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iOS 18.7.5 และ iPadOS 18.7.5

เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ iOS 18.7.5 และ iPadOS 18.7.5

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iOS 18.7.5 และ iPadOS 18.7.5

เปิดตัวเมื่อวันที่ 11 กุมภาพันธ์ 2026

Accessibility

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์ที่ล็อคอาจสามารถดูข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2026-20645: Loh Boon Keat

Books

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การกู้คืนไฟล์สำรองข้อมูลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการดัดแปลงไฟล์ระบบที่ได้รับการป้องกัน

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2025-43537: piffz, Daniel Nurkin, Sadman Adib, Mohamed Hamdadou & Mahran Alhazmi, Hichem Maloufi, Christian Mina, Gerson Aldaz, qwerty j0y & Ricardo Garcia, Dorian Del Valle

CFNetwork

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถเขียนไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2026-20660: Amy (amys.website)

CoreAudio

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-20611: นักวิจัยนิรนามซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative

CoreMedia

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

CVE-2026-20634: George Karchemsky (@gkarchemsky) ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative

ImageIO

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2026-20675: George Karchemsky (@gkarchemsky) ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative

Kernel

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลเครือข่ายได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

LaunchServices

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการล้างการบันทึก

CVE-2026-20663: Zhongcheng Li จาก IES Red Team

libexpat

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิด Denial of Service

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2025-59375

libnetcore

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

Live Captions

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2026-20655: Richard Hyunho Im (@richeeta) ที่ Route Zero Security (routezero.security)

Mail

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การปิด "โหลดเนื้อหาระยะไกลในข้อความ" อาจไม่มีผลกับตัวอย่างเมลทั้งหมด

CVE-2026-20673: นักวิจัยนิรนาม

Messages

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ปุ่มลัดอาจสามารถเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงลิงก์สัญลักษณ์ให้ดียิ่งขึ้น

CVE-2026-20677: Ron Masas จาก BreakPoint.SH

Model I/O

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การแยกวิเคราะห์ไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-20616: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

Multi-Touch

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: อุปกรณ์ HID ที่เป็นอันตรายอาจทำให้กระบวนการทำงานบางอย่างหยุดทำงานโดยไม่คาดคิด

CVE-2025-43533: Threat Analysis Group จาก Google

CVE-2025-46300: Google Threat Analysis Group

CVE-2025-46301: Google Threat Analysis Group

CVE-2025-46302: Google Threat Analysis Group

CVE-2025-46303: Google Threat Analysis Group

CVE-2025-46304: Google Threat Analysis Group

CVE-2025-46305: Google Threat Analysis Group

Safari

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจเข้าถึงประวัติ Safari ของผู้ใช้ได้

CVE-2026-20656: Mickey Jin (@patch1t)

Sandbox

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2026-20628: Noah Gregory (wts.dev)

Sandbox Profiles

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2026-20678: Óscar García Pérez, Stanislav Jelezoglo

Screenshots

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ผู้โจมตีอาจสามารถค้นพบโน้ตที่ผู้ใช้ลบแล้ว

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2026-20682: Viktor Lord Härringtón

Shortcuts

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2026-20653: Enis Maholli (enismaholli.com)

Spotlight

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดเกี่ยวกับความสามารถในการสังเกตสถานะแอป

CVE-2026-20680: นักวิจัยนิรนาม

StoreKit

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจสามารถระบุได้ว่าผู้ใช้ได้ติดตั้งแอปอื่นใดบ้าง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2026-20641: Gongyu Ma (@Mezone0)

UIKit

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2026-20606: LeminLimez

Voice Control

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจสามารถหยุดการดำเนินการของระบบ

CVE-2026-20605: @cloudlldb จาก @pixiepointsec

VoiceOver

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

CVE-2026-20661: Dalibor Milanovic

WebKit

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 303357

CVE-2026-20608: HanQing จาก TSDubhe และ Nan Wang (@eternalsakura13)

WebKit

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิด Denial of Service ได้

WebKit Bugzilla: 303959

CVE-2026-20652: Nathaniel Oh (@calysteon)

WebKit

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

WebKit Bugzilla: 303444

CVE-2026-20644: HanQing จาก TSDubhe และ Nan Wang (@eternalsakura13)

WebKit Bugzilla: 304661

CVE-2026-20635: EntryHi

Wi-Fi

มีให้สำหรับ: iPhone XS, iPhone XS Max, iPhone XR, iPad รุ่นที่ 7

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้

CVE-2026-20621: Wang Yu จาก Cyberserval

คำขอบคุณพิเศษ

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก George Karchemsky (@gkarchemsky) ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Xinru Chi จาก Pangu Lab

libpthread

เราขอขอบคุณสำหรับความช่วยเหลือจาก Fabiano Anemone

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก EntryHi, Stanislav Fort จาก Aisle Research, Vsevolod Kokorin (Slonser) จาก Solidlab และ Jorian Woltjer

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 16 กุมภาพันธ์ 2569