Acerca del contenido de seguridad de tvOS 18.5

En este documento se describe el contenido de seguridad de tvOS 18.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 18.5

Publicado el 12 de mayo de 2025

AppleJPEG

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31251: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Core Bluetooth

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-31212: Guilherme Rambo de Best Buddy Apps (rambo.codes)

CoreAudio

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31208: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreGraphics

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-31209: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-31239: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31233: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-31226: Saagar Jha

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24224: Tony Iskow (@Tybbow)

Entrada añadida el 29 de julio de 2025

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-31219: Michael DePlante (@izobashi) y Lucas Leong (@_wmliang_) de Trend Micro Zero Day Initiative

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de vulnerabilidad «double free» mejorando la gestión de la memoria.

CVE-2025-31241: Christian Kohlschütter

libexpat

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: varios problemas en libexpat, incluido el cierre inesperado de la app o la ejecución de código arbitrario.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-8176

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un usuario podría ser capaz de elevar los privilegios.

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31245: wac

Pro Res

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31234: CertiK (@CertiK)

Security

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría filtrar memoria.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2025-31221: Dave G.

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un problema de confusión de tipos podría provocar corrupción en la memoria

Descripción: se ha solucionado el problema mejorando la gestión de los elementos flotantes.

WebKit Bugzilla: 286694

CVE-2025-24213: Google V8 Security Team

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 289387

CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

WebKit Bugzilla: 289653

CVE-2025-31238: wac en colaboración con Trend Micro Zero Day Initiative

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 287577

CVE-2025-24223: rheza (@ginggilBesel) y un investigador anónimo

WebKit Bugzilla: 291506

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang y Jikai Ren

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.

WebKit Bugzilla: 290834

CVE-2025-31206: un investigador anónimo

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 290992

CVE-2025-31205: Ivan Fratric de Google Project Zero

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 290985

CVE-2025-31257: Juergen Schmied de Lynck GmbH

Otros agradecimientos

AirDrop

Queremos dar las gracias a Dalibor Milanovic por su ayuda.

Kernel

Queremos dar las gracias a un investigador anónimo por su ayuda.

MobileGestalt

Queremos dar las gracias a iisBuri por su ayuda.

NetworkExtension

Queremos dar las gracias a Andrei-Alexandru Bleorțu por su ayuda.

WebKit

Queremos dar las gracias a Mike Dougherty y Daniel White de Google Chrome y a un investigador anónimo por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: