In diesem Dokument wird der Sicherheitsinhalt von tvOS 18.4 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Kürzliche Veröffentlichungen werden auf der Seite Apple-Sicherheitsupdates aufgeführt.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
Veröffentlicht am 31. März 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürliche Dateimetadaten lesen.
Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2025-24097: Ron Masas von BREAKPOINT.SH
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-31202: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Nicht authentifizierte Benutzer im selben Netzwerk wie ein angemeldeter Mac können AirPlay-Befehle an diesen senden, ohne mit dem Mac gekoppelt zu sein.
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2025-24271: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können vertrauliche Benutzerdaten offenlegen.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2025-24270: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können den Prozessspeicher beschädigen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24252: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24251: Uri Katz (Oligo Security)
CVE-2025-31197: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können die Authentifizierungsrichtlinie umgehen.
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-24206: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können Apps unerwartet beenden.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-30445: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: ASLR kann möglicherweise von einer App umgangen werden.
Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2025-43205: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Eintrag hinzugefügt am 29. Juli 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24244: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24243: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2025-30429: Denis Tokarev (@illusionofcha0s)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24212: Denis Tokarev (@illusionofcha0s)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24163: Google Threat Analysis Group
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Audiodatei kann zu einem unerwarteten App-Abbruch führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-24230: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-31196: wac in Zusammenarbeit mit der Trend Micro Zero Day Initiative
Eintrag hinzugefügt am 28. Mai 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.
Beschreibung: Dieses Problem wurde durch verbesserte Speicherverwaltung behoben.
CVE-2025-24211: Hossein Lotfi (@hosselot) von der Trend Micro Zero Day Initiative
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Videodatei kann zu einem unerwarteten App-Abbruch oder einem beschädigten Prozessspeicher führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2025-24190: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise auf private Daten zugreifen.
Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2025-30454: pattern-f (@pattern_F_)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) von Microsoft und ein anonymer Forscher
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-24182: Hossein Lotfi (@hosselot) von der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Angriffe auf das lokale Netzwerk können einen Denial-of-Service verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2025-31203: Uri Katz (Oligo Security)
Eintrag hinzugefügt am 28. April 2025
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.
CVE-2024-9681
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Das Problem wurde durch Bereinigen der Protokollierung behoben.
CVE-2025-30447: LFY@secsys von der Fudan-Universität
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Analyse eines Bildes kann zur Preisgabe von Benutzerinformationen führen
Beschreibung: Ein Logikfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.
CVE-2025-24210: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine in böser Absicht erstellte App kann Versuche von Code-Eingaben auf einem gesperrten Gerät unternehmen und dadurch nach vier Fehlversuchen steigende Zeitverzögerungen verursachen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-30432: Michael (Biscuit) Thomas –·@biscuit@social.lol
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Problem bei der Überprüfung der Eingabe wurde behoben.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.
CVE-2024-48958
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24194: Ein anonymer Forscher
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Analyse einer Datei kann zu einem unerwarteten App-Abbruch führen.
Beschreibung: Dies ist eine Schwachstelle in Open-Source-Code und Apple-Software gehört zu den betroffenen Projekten. Die CVE-ID wurde von einer Drittpartei zugewiesen. Weitere Informationen zu diesem Problem und der CVE-ID sind unter cve.org zu finden.
CVE-2025-27113
CVE-2024-56171
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2025-24178: Ein anonymer Forscher
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.
Beschreibung: Dieses Problem wurde durch eine verbesserte Verarbeitung von Symlinks behoben.
CVE-2025-31182: Alex Radocea und Dave G. von Supernetworks, 风沐云烟(@binary_fmyy) und Minghao Lin(@Y1nKoc)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2025-24238: Ein anonymer Forscher
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf die vom Benutzer installierten Apps auflisten.
Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.
CVE-2025-30426: Jimmy
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.
CVE-2025-24173: Mickey Jin (@patch1t)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2025-30471: Bing Shi, Wenchao Li Xiaolong Bai von der Alibaba Group, Luyi Xing von der Indiana University Bloomington
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine bösartige Anwendung kann die Systembenachrichtigung auf dem Sperrbildschirm, dass eine Aufzeichnung gestartet wurde, ausblenden.
Beschreibung: Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.
CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.
CVE-2025-24217: Kirin (@Pwnrin)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Ein Datenschutzproblem wurde behoben, indem der Inhalt von Textfeldern nicht mehr protokolliert wird.
CVE-2025-24214: Kirin (@Pwnrin)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 285892
CVE-2025-24264: Gary Kwong und eine anonyme forschende Person
WebKit Bugzilla: 284055
CVE-2025-24216: Paul Bakker von ParagonERP
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Prozessabbruch führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 286462
CVE-2025-24209: Francisco Alonso (@revskills) und eine anonyme forschende Person
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 285643
CVE-2025-30427: rheza (@ginggilBesel)
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus „Privates Surfen“ aktiviert ist
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 286580
CVE-2025-30425: Ein anonymer Forscher
Wir möchten uns bei Bohdan Stasiuk (@bohdan_stasiuk) für die Unterstützung bedanken.
Wir möchten uns bei Uri Katz, (Oligo Security) für die Unterstützung bedanken.
Eintrag hinzugefügt am 28. April 2025
Wir möchten uns bei Byron Fecho für die Unterstützung bedanken.
Wir möchten uns bei 神罚(@Pwnrin) für die Unterstützung bedanken.
Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.
Wir möchten uns bei Kirin und FlowerCode für die Unterstützung bedanken.
Wir möchten uns bei Kirin@Pwnrin und LFY@secsys von der Fudan University für die Unterstützung bedanken.
Wir möchten uns bei D4m0n für die Unterstützung bedanken.
Wir möchten uns bei Bistrit Dahal für die Unterstützung bedanken.
Wir möchten uns bei Benjamin Hornbeck für die Unterstützung bedanken.
Wir möchten uns bei Marc Schoenefeld, Dr. rer. nat. für die Unterstützung bedanken.
Wir möchten uns bei Kevin Jones (GitHub) für die Unterstützung bedanken.
Wir möchten uns bei Lyutoon für die Unterstützung bedanken.
Wir möchten uns bei Gary Kwong, P1umer (@p1umer) und Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang und Daoyuan Wu von HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) von VXRL, Wong Wai Kin, Dongwei Xiao und Shuai Wang von HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) von VXRL, Xiangwei Zhang von Tencent Security YUNDING LAB, 냥냥 und einem anonymen Forscher für die Unterstützung bedanken.