Acerca del contenido de seguridad de tvOS 26.5

En este documento se describe el contenido de seguridad de tvOS 26.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 26.5

Accelerate

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28959: Dave G.

App Intents

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app maliciosa podría salir de su zona restringida

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) para Reverse Society

AppleJPEG

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2026-1837

AppleJPEG

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2026-28956: impost0r (ret2plt)

Audio

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de un flujo de audio en un archivo multimedia creado con fines malintencionados puede detener el proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

CoreSymbolication

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2026-28918: Niels Hofmans, un investigador anónimo que trabaja para TrendAI Zero Day Initiative

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2026-43661: un investigador anónimo

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2026-28977: Suresh Sundaram

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría ser capaz de determinar el diseño de la memoria de kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28943: Grupo de análisis de amenazas de Google

IOKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría provocar el cierre inesperado del sistema o la lectura de la memoria del kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2026-43655: Somair Ansar y un investigador anónimo

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación de entrada.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman mediante Xint Code (xint.io)

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app puede provocar un cierre inesperado del sistema.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman mediante Xint Code (xint.io)

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría corromper la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) de TrendAI Zero Day Initiative

SceneKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2026-28846: Peter Malone

Spotlight

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: este problema se ha solucionado mejorando las comprobaciones para evitar acciones no autorizadas.

CVE-2026-28974: Andy Koo (@andykoo) de Hexens

Storage

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2026-28996: Alex Radocea

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2026-43660: Cantina

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2026-28907: Cantina

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-43658: Do Young Park

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), un investigador anónimo que trabaja para TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac y Kookhwan Lee, en colaboración con TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Equipo de seguridad ofensiva de AISLE (Joshua Rogers, Luigino Camastra, Igor Morgenstern, and Guido Vranken), Maher Azzouzi, Ngan Nguyen de Calif.io

CVE-2026-28913: un investigador anónimo

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2026-28917: Vitaly Simonovich

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr y Nicholas Carlini de Claude, Anthropic

Wi-Fi

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en una posición de red privilegiada podría implementar un ataque de denegación de servicio mediante paquetes wifi creados.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2026-28994: Alex Radocea

zlib

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información sensible.

Descripción: se solucionó una filtración de información mediante una validación adicional.

CVE-2026-28920: Brendon Tiszka de Google Project Zero

Otros agradecimientos

App Intents

Queremos dar las gracias a Mikael Kinnman por su ayuda.

Apple Account

Queremos dar las gracias a Iván Savransky y YingQi Shi (@Mas0nShi) del laboratorio WeBin de DBAppSecurity por su ayuda.

AuthKit

Queremos dar las gracias a Gongyu Ma (@Mezone0) por su ayuda.

CoreUI

Queremos dar las gracias a Mustafa Calap ​por su ayuda.

ICU

Queremos dar las gracias a un investigador anónimo por su ayuda.

Kernel

Queremos dar las gracias a Ryan Hileman mediante Xint Code (xint.io), Suresh Sundaram y un investigador anónimo por su ayuda.

Libnotify

Queremos dar las gracias a Ilias Morad (@A2nkF_) por su ayuda.

mDNSResponder

Queremos dar las gracias a Jason Grove por su ayuda.

Siri

Queremos dar las gracias a Yoav Magid por su ayuda.

WebKit

Queremos dar las gracias a Vitaly Simonovich por su ayuda.