เกี่ยวกับเนื้อหาด้านความปลอดภัยของ visionOS 26.2
เอกสารฉบับนี้อธิบายเนื้อหาด้านความปลอดภัยของ visionOS 26.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
visionOS 26.2
เปิดตัวเมื่อวันที่ 12 ธันวาคม 2025
App Store
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงโทเค็นการชำระเงินที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-46288: floeki, Zhongcheng Li จาก IES Red Team ของ ByteDance
AppleJPEG
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์อาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2025-43539: Michael Reeves (@IntegralPilot)
Calling Framework
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: ผู้โจมตีอาจสามารถปลอมแปลง ID ผู้โทร FaceTime ได้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-46287: นักวิจัยนิรนามและ Riley Walz
curl
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2024-7264
CVE-2025-9086
FaceTime
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: ช่องรหัสผ่านอาจเปิดเผยโดยไม่ได้ตั้งใจเมื่อควบคุมอุปกรณ์จากระยะไกลผ่าน FaceTime
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2025-43542: Yiğit Ocak
Foundation
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43532: Andrew Calvano และ Lucas Pinheiro จาก Meta Product Security
Icons
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถระบุได้ว่าผู้ใช้ได้ติดตั้งแอปอื่นใดบ้าง
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-46279: Duy Trần (@khanhduytran0)
Kernel
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คําอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขโดยการนําการประทับเวลา 64 บิตมาใช้
CVE-2025-46285: Kaitao Xie และ Xiaolong Bai จาก Alibaba Group
Messages
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คําอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมความเป็นส่วนตัวให้ดียิ่งขึ้น
CVE-2025-46276: Rosyna Keller จาก Totally Not Malicious Software
Multi-Touch
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: อุปกรณ์ HID ที่เป็นอันตรายอาจทำให้กระบวนการทำงานบางอย่างหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2025-43533: Threat Analysis Group จาก Google
Photos
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: อาจมีการดูรูปภาพในอัลบั้มรูปภาพที่ซ่อนอยู่ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์
คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43428: นักวิจัยนิรนามและ Michael Schmutzer จาก Technische Hochschule Ingolstadt
Screen Time
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการบันทึกได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลให้ดียิ่งขึ้น
CVE-2025-43538: Iván Savransky
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 301257
CVE-2025-43541: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 300774
CVE-2025-43535: Google Big Sleep, Nan Wang (@eternalsakura13)
อัปเดตรายการเมื่อวันที่ 17 ธันวาคม 2025
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 301371
CVE-2025-43501: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo จาก Epic Games
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้ในการโจมตีบุคคลที่ตกเป็นเป้าหมายเฉพาะเจาะจงด้วยวิธีการที่ซับซ้อนอย่างยิ่งในเวอร์ชั่น iOS ก่อน iOS 26 CVE-2025-14174 ได้ออกเพื่อตอบสนองต่อรายงานนี้ด้วย
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 302502
CVE-2025-43529: Threat Analysis Group จาก Google
WebKit
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้ในการโจมตีบุคคลที่ตกเป็นเป้าหมายเฉพาะเจาะจงด้วยวิธีการที่ซับซ้อนอย่างยิ่งในเวอร์ชั่น iOS ก่อน iOS 26 CVE-2025-43529 ได้ออกเพื่อตอบสนองต่อรายงานนี้ด้วย
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 303614
CVE-2025-14174: Threat Analysis Group จาก Apple และ Google
WebKit Web Inspector
ใช้ได้กับ: Apple Vision Pro (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 300926
CVE-2025-43511: 이동하 (Lee Dong Ha of BoB 14th)
คำขอบคุณพิเศษ
AppleMobileFileIntegrity
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Core Services
เราขอขอบคุณความช่วยเหลือจาก Golden Helm Securities
Safari
เราขอขอบคุณความช่วยเหลือจาก Mochammad Nosa Shandy Prastyo
WebKit
เราขอขอบคุณความช่วยเหลือจาก Geva Nurgandi Syahputra (gevakun)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม