Informace o bezpečnostním obsahu tvOS 26.1
Tento dokument popisuje bezpečnostní obsah tvOS 26.1.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
tvOS 26.1
Vydáno 3. listopadu 2025
Apple Neural Engine
K dispozici pro: Apple TV 4K (2. generace a novější)
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-43462: anonymní výzkumník
AppleMobileFileIntegrity
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2025-43407: JZ
CloudKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-43436: Zhongcheng Li z týmu IES Red Team společnosti ByteDance
CoreText
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2025-43445: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
FontParser
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého písma může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2025-43400: Apple
Installer
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-43444: Zhongcheng Li z týmu IES Red Team společnosti ByteDance
Kernel
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci v sandboxu se může podařit pozorovat síťová připojení v měřítku celého systému.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2025-43413: Dave G. a Alex Radocea ze supernetworks.org
MallocStackLogging
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Existoval problém v práci s proměnnými prostředí. Problém byl vyřešen vylepšením ověřování.
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Model I/O
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého souboru médií může vést k neočekávanému ukončení aplikace nebo poškození paměti procesu.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2025-43386: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43385: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43384: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2025-43383: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Škodlivý web může získat data napříč původy.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontrol.
WebKit Bugzilla: 299843
CVE-2025-43443: anonymní výzkumník
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen ze společnosti Google
WebKit Bugzilla: 298851
CVE-2025-43425: anonymní výzkumník
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontrol
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit Canvas
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Web může být schopný vytáhnout data obrázků napříč původy.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Další poděkování
MobileInstallation
Poděkování za pomoc zaslouží Bubble Zhang.
WebKit
Poděkování za pomoc zaslouží Enis Maholli (enismaholli.com), Google Big Sleep.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.