Informace o bezpečnostním obsahu tvOS 26.4

Tento dokument popisuje bezpečnostní obsah tvOS 26.4.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

tvOS 26.4

802.1X

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachycovat síťový provoz.

Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

Audio

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-28879: Justin Cohen ze společnosti Google

Audio

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2026-28822: Jex Amro

CoreMedia

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování zvukového streamu ve škodlivě vytvořeném mediálním souboru může ukončit proces.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2026-20690: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CoreUtils

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Uživateli s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém s ochranou soukromí byl vyřešen odstraněním citlivých dat.

CVE-2026-28878: Zhongcheng Li z IES Red Team

curl

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: V nástroji curl docházelo k problému, který mohl vést k neúmyslnému odesílání citlivých informací přes nesprávné připojení.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-14524

GeoServices

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Únik informací byl řešen dodatečným ověřením.

CVE-2026-28870: XiguaSec

ImageIO

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2025-64505

Kernel

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením ověření.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikace může zobrazit výčet nainstalovaných aplikací uživatele.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2026-28882: Ilias Morad (A2nkF) z Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit sejmout otisk prstu uživatele.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování vstupů.

CVE-2026-28852: Caspian Tarafdar

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2026-20665: webb

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivému webu se může podařit zpracovat omezený obsah webu mimo sandbox.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2026-28859: greenbynox, Arni Hardarson

Další poděkování

AirPort

Poděkování za pomoc zaslouží Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Poděkování za pomoc zaslouží Hamid Mahmoud.

Captive Network

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy).

CoreUI

Poděkování za pomoc zaslouží Peter Malone.

Find My

Poděkování za pomoc zaslouží Salemdomain.

GPU Drivers

Poděkování za pomoc zaslouží Jian Lee (@speedyfriend433).

ICU

Poděkování za pomoc zaslouží Jian Lee (@speedyfriend433).

Kernel

Poděkování za pomoc zaslouží DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville z Fuzzinglabs, Patrick Ventuzelo z Fuzzinglabs, Robert Tran, Suresh Sundaram.

libarchive

Poděkování za pomoc zaslouží Andreas Jaegersberger a Ro Achterberg z Nosebeard Labs, Arni Hardarson.

libc

Poděkování za pomoc zaslouží Vitaly Simonovich.

Libnotify

Poděkování za pomoc zaslouží Ilias Morad (@A2nkF_).

LLVM

Poděkování za pomoc zaslouží Nathaniel Oh (@calysteon).

Messages

Poděkování za pomoc zaslouží JZ.

MobileInstallation

Poděkování za pomoc zaslouží Gongyu Ma (@Mezone0).

ppp

Poděkování za pomoc zaslouží Dave G.

Quick Look

Poděkování za pomoc zaslouží Wojciech Regula ze SecuRing (wojciechregula.blog), anonymní výzkumník.

Safari

Poděkování za pomoc zaslouží @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Poděkování za pomoc zaslouží Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).

Siri

Poděkování za pomoc zaslouží Anand Mallaya, technický konzultant z Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar ze Self-Employed.

Spotlight

Poděkování za pomoc zaslouží Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

Time Zone

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) ze společnosti Safran Mumbai India.

UIKit

Poděkování za pomoc zaslouží AEC, Abhay Kailasia (@abhay_kailasia) ze společnosti Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Ministerstvo námořnictva USA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Poděkování za pomoc zaslouží Zhongcheng Li z týmu IES Red Team společnosti ByteDance.

Web Extensions

Poděkování za pomoc zaslouží Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Poděkování za pomoc zaslouží Vamshi Paili.

WebKit Process Model

Poděkování za pomoc zaslouží Joseph Semaan.

Wi-Fi

Poděkování za pomoc zaslouží Kun Peeks (@SwayZGl1tZyyy), anonymní výzkumník.

Wi-Fi Connectivity

Poděkování za pomoc zaslouží Alex Radocea of Supernetworks, Inc.

Widgets

Poděkování za pomoc zaslouží Marcel Voß, Mitul Pranjay, Serok Çelik.