Om sikkerhedsindholdet i tvOS 26.5

I dette dokument beskrives sikkerhedsindholdet i tvOS 26.5.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 26.5

Accelerate

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28959: Dave G.

App Intents

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En skadelig app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) fra Reverse Society

AppleJPEG

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt billede kan medføre DoS (denial-of-service)

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt mediearkiv kan føre til pludselig applukning eller beskadige proceshukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.

CVE-2026-28956: impost0r (ret2plt)

Audio

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af en lydstream i et skadeligt mediearkiv kan afbryde processen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-39869: David Ige fra Beryllium Security

CoreSymbolication

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Parsing af et skadeligt arkiv kan medføre en uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2026-28918: Niels Hofmans, anonym der arbejder med TrendAI Zero Day Initiative

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2026-43661: en anonym programmør

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2026-28977: Suresh Sundaram

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker kan forårsage uventet applukning

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er løst via forbedret låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis fastslå opsætningen af kernehukommelsen

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage uventet systemlukning eller læsning af kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2026-43655: Somair Ansar og en anonym programmør

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret inputvalidering.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) fra Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Et logføringsproblem blev løst via forbedret bortredigering af data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-43653: Atul R V

mDNSResponder

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker på det lokale netværk kan muligvis forårsage et DoS-angreb

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af proceshukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

SceneKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2026-28846: Peter Malone

Spotlight

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2026-28974: Andy Koo (@andykoo) fra Hexens

Storage

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2026-28996: Alex Radocea

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2026-43660: Cantina

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2026-28907: Cantina

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-43658: Do Young Park

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu, og Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym der arbejder med TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac og Kookhwan Lee der arbejder med TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Forskningsteamet for offensiv sikkerhed hos Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern, og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io

CVE-2026-28913: en anonym programmør

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedret validering af input.

CVE-2026-28917: Vitaly Simonovich

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til et uventet nedbrud i Safari

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr og Nicholas Carlini fra Claude, Anthropic

Wi-Fi

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker i en privilegeret netværksposition kan muligvis udføre DoS-angreb (Denial-of-Service) ved hjælp af skadelige wi-fi-pakker

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2026-28994: Alex Radocea

zlib

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Et besøg på et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Et problem med lækage af oplysninger blev løst via yderligere validering.

CVE-2026-28920: Brendon Tiszka fra Google Project Zero

Yderligere anerkendelser

App Intents

Vi vil gerne takke Mikael Kinnman for hjælpen.

Apple Account

Vi vil gerne takke Iván Savransky, YingQi Shi (@Mas0nShi) fra DBAppSecurity's WeBin lab for hjælpen.

AuthKit

Vi vil gerne takke Gongyu Ma (@Mezone0) for hjælpen.

CoreUI

Vi vil gerne takke Mustafa Calap for hjælpen.

ICU

Vi vil gerne takke en anonym programmør for hjælpen.

Kernel

Vi vil gerne takke Ryan Hileman via Xint Code (xint.io), Suresh Sundaram, en anonym programmør for hjælpen.

Libnotify

Vi vil gerne takke Ilias Morad (@A2nkF_) for hjælpen.

mDNSResponder

Vi vil gerne takke Jason Grove for hjælpen.

Siri

Vi vil gerne takke Yoav Magid for hjælpen.

WebKit

Vi vil gerne takke Vitaly Simonovich for hjælpen.