Acerca del contenido de seguridad de tvOS 26.4

En este documento se describe el contenido de seguridad de tvOS 26.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 26.4

802.1X

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2026-28865: Héloïse Gollier y Mathy Vanhoef (KU Leuven)

Audio

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28879: Justin Cohen de Google

Audio

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2026-28822: Jex Amro

CoreMedia

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede cerrar el proceso

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2026-20690: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un usuario que se encontrase en una posición de red privilegiada podría causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2026-28886: Etienne Charron (Renault) y Victoria Martini (Renault)

Crash Reporter

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2026-28878: Zhongcheng Li de IES Red Team

curl

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: existía un problema en curl que podría provocar el envío involuntario de información confidencial a través de una conexión incorrecta

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-14524

GeoServices

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-64505

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2026-28882: Ilias Morad (A2nkF) de Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría utilizar la huella digital del usuario

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2026-20665: webb

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un sitio web malicioso podría procesar contenido web restringido fuera de la zona protegida

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

Otros agradecimientos

AirPort

Queremos dar las gracias a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari y Omid Rezaii por su ayuda.

Bluetooth

Queremos dar las gracias a Hamid Mahmoud por su ayuda.

Captive Network

Nos gustaría agradecer a Kun Peeks (@SwayZGl1tZyyy) por su ayuda.

CoreUI

Queremos dar las gracias a Peter Malone por su ayuda.

Find My

Queremos dar las gracias a Salemdomain por su ayuda.

GPU Drivers

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

ICU

Queremos dar las gracias a Jian Lee (@speedyfriend433) por su ayuda.

Kernel

Queremos dar las gracias a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville de Fuzzinglabs, Patrick Ventuzelo de Fuzzinglabs, Robert Tran y Suresh Sundaram por su ayuda.

libarchive

Queremos dar las gracias a Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs y Arni Hardarson por su ayuda.

libc

Queremos dar las gracias a Vitaly Simonovich por su ayuda.

Libnotify

Queremos dar las gracias a Ilias Morad (@A2nkF_) por su ayuda.

LLVM

Queremos dar las gracias a Nathaniel Oh (@calysteon) por su ayuda.

Messages

Queremos dar las gracias a JZ por su ayuda.

MobileInstallation

Queremos dar las gracias a Gongyu Ma (@Mezone0) por su ayuda.

ppp

Queremos dar las gracias a Dave G. por su ayuda.

Quick Look

Queremos dar las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a un investigador anónimo por su ayuda.

Safari

Queremos dar las gracias a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad y Yair por su ayuda.

Shortcuts

Queremos dar las gracias a Waleed Barakat (@WilDN00B) y Paul Montgomery (@nullevent) por su ayuda.

Siri

Queremos dar las gracias a Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia y Hrishikesh Parmar de Self-Employed por su ayuda.

Spotlight

Queremos dar las gracias a Bilge Kaan Mızrak, Claude y amigos: Risk Analytics Research Group y Zack Tickman por su ayuda.

Time Zone

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India por su ayuda.

UIKit

Queremos dar las gracias a AEC, Abhay Kailasia (@abhay_kailasia) de Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp por su ayuda.

Wallet

Queremos dar las gracias a Zhongcheng Li de IES Red Team of ByteDance por su ayuda.

Web Extensions

Queremos dar las gracias a Carlos Jeurissen y Rob Wu (robwu.nl) por su ayuda.

WebKit

Queremos dar las gracias a Vamshi Paili por su ayuda.

WebKit Process Model

Queremos dar las gracias a Joseph Semaan por su ayuda.

Wi-Fi

Queremos dar las gracias a Kun Peeks (@SwayZGl1tZyyy) y a un investigador anónimo por su ayuda.

Wi-Fi Connectivity

Queremos dar las gracias a Alex Radocea de Supernetworks, Inc por su ayuda.

Widgets

Queremos dar las gracias a Marcel Voß, Mitul Pranjay y Serok Çelik por su ayuda.