Acerca del contenido de seguridad de tvOS 18.3

En este documento se describe el contenido de seguridad de tvOS 18.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 18.3

Disponible el 27 de enero de 2025

AirPlay

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2025-24179: Uri Katz (Oligo Security)

Entrada añadida el 28 de abril de 2025

AirPlay

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local podría corromper la memoria

Descripción: se ha solucionado un problema de validación de entrada.

CVE-2025-24126: Uri Katz (Oligo Security)

Entrada actualizada el 28 de abril de 2025

AirPlay

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-24129: Uri Katz (Oligo Security)

Entrada actualizada el 28 de abril de 2025

AirPlay

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24131: Uri Katz (Oligo Security)

Entrada actualizada el 28 de abril de 2025

AirPlay

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local podría corromper la memoria de proceso.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-24137: Uri Katz (Oligo Security)

Entrada actualizada el 28 de abril de 2025

ARKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu y Xingwei Lin de la Universidad de Zhejiang

CoreAudio

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24160: Grupo de análisis de amenazas de Google

CVE-2025-24161: Grupo de análisis de amenazas de Google

CVE-2025-24163: Grupo de análisis de amenazas de Google

CoreMedia

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24123: Desmond trabajando con Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) trabajando con Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación maliciosa podría elevar los privilegios. Apple conoce la existencia de un informe en el que se indica que este problema se podría haber explotado de forma activa contra versiones de iOS anteriores a iOS 17.2.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-24085

CoreMedia Playback

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) y Lee Dong Ha (Who4mI)

Entrada añadida el 16 de mayo de 2025

Monitor

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2025-24111: Wang Yu de Cyberserval

Entrada añadida el 12 de mayo de 2025

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen podría provocar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24086: DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat, y D4m0n

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Entrada añadida el 12 de mayo de 2025

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24107: un investigador anónimo

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2025-24159: pattern-f (@pattern_F_)

libxslt

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-55549: Ivan Fratric de Google Project Zero

CVE-2025-24855: Ivan Fratric de Google Project Zero

Entrada añadida el 16 de mayo de 2025

PackageKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-31262: Mickey Jin (@patch1t)

Entrada añadida el 16 de mayo de 2025

SceneKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-24149: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 284332

CVE-2025-24189: un investigador anónimo

Entrada añadida el 16 de mayo de 2025

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar contenido web podría provocar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 283889

CVE-2025-24158: Q1IQ (@q1iqF) de NUS CuriOSity y P1umer (@p1umer) de Imperial Global Singapore.

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: para resolver este problema se ha mejorado la gestión del estado.

WebKit Bugzilla: 284159

CVE-2025-24162: linjy de HKUS3Lab y chluo de WHUSecLab

Otros agradecimientos

Audio

Queremos dar las gracias al Grupo de análisis de amenazas de Google por su ayuda.

CoreAudio

Queremos dar las gracias al Grupo de análisis de amenazas de Google por su ayuda.

iCloud

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal India, George Kovaios y Srijan Poudel por su ayuda.

Entrada añadida el 16 de mayo de 2025

Passwords

Queremos dar las gracias a Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co por su ayuda.

Static Linker

Queremos dar las gracias a Holger Fuhrmannek por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: