Acerca del contenido de seguridad de tvOS 26
En este documento, se describe el contenido de seguridad de tvOS 26.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
tvOS 26
Publicado el lunes, 15 de septiembre de 2025
Apple Neural Engine
Disponible para Apple TV 4K (2.ª generación y posterior)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43344: Un investigador anónimo
AppleMobileFileIntegrity
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43317: Mickey Jin (@patch1t)
Audio
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43346: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Audio
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app con fines malintencionados podía leer la memoria del kernel.
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-43361: Michael Reeves (@IntegralPilot)
Entrada agregada el 3 de noviembre de 2025
Bluetooth
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2025-43354: Csaba Fitzl (@theevilbit) de Kandji
CVE-2025-43303: Csaba Fitzl (@theevilbit) de Kandji
CloudKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que una app pueda registrar la huella digital del usuario
Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.
CVE-2025-43323: Yinyi Wu (@_3ndy1) de Dawn Security Lab de JD.com, Inc
Entrada agregada el 3 de noviembre de 2025
CoreAudio
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2025-43349@zlluny, en colaboración con el programa Zero Day Initiative de Trend Micro
CoreMedia
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la validación de entradas para solucionar el problema.
CVE-2025-43372: 이동하 (Lee Dong Ha) de SSA Lab
IOHIDFamily
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-43302: Keisuke Hosoda
IOKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji
Kernel
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Un socket de servidor UDP vinculado con una interfaz local podía vincularse con todas las interfaces.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2025-43359: Viktor Oreshkin
Kernel
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.
CVE-2025-43345: Mickey Jin (@patch1t)
Entrada agregada el 3 de noviembre de 2025
MobileStorageMounter
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que una app pueda provocar una denegación de servicio
Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.
CVE-2025-43355: Dawuge de Shuffle Team
Sandbox
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía salir de su zona protegida
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43329: Un investigador anónimo
SQLite
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un archivo podía generar daños en la memoria.
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-6965
System
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Se solucionó un problema de validación de entradas
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Un sitio web podía acceder a la información del sensor sin el consentimiento del usuario.
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
WebKit Bugzilla: 296153
CVE-2025-43356: Jaydev Ahire
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 296490
CVE-2025-43343: Un investigador anónimo
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.
WebKit Bugzilla: 296042
CVE-2025-43342: Un investigador anónimo
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 293895
CVE-2025-43419: Ignacio Sanmillan (@ulexec)
Entrada agregada el 3 de noviembre de 2025
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Un atacante remoto podía ver consultas de DNS filtradas al tener la Retransmisión privada activada.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
WebKit Bugzilla: 295943
CVE-2025-43376: Mike Cardwell de grepular.com, Bob Lord
Entrada agregada el 3 de noviembre de 2025
Otros agradecimientos
Accounts
Nos gustaría darle las gracias a 要乐奈 por su ayuda.
AuthKit
Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.
CFNetwork
Nos gustaría darle las gracias a Christian Kohlschütter por su ayuda.
Core Bluetooth
Nos gustaría darle las gracias a Leon Böttger por su ayuda.
Entrada agregada el 3 de noviembre de 2025
CoreMedia
Nos gustaría darle las gracias a Noah Gregory (wts.dev) por su ayuda.
darwinOS
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
Foundation
Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.
ImageIO
Nos gustaría darles las gracias a DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat por su ayuda.
Kernel
Nos gustaría darles las gracias a Yepeng Pan y al Prof. Dr. Christian Rossow por su ayuda.
libc
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
libpthread
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
libxml2
Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.
mDNSResponder
Nos gustaría darle las gracias a Barrett Lyon por su ayuda.
MediaRemote
Nos gustaría darle las gracias a Dora Orak por su ayuda.
Sandbox Profiles
Nos gustaría darle las gracias a Rosyna Keller de Totally Not Malicious Software por su ayuda.
Transparency
Nos gustaría darles las gracias a Wojciech Regula de SecuRing (wojciechregula.blog) y a 要乐奈 por su ayuda.
WebKit
Nos gustaría darle las gracias a Matthew Liang por su ayuda.
Entrada actualizada el 3 de noviembre de 2025
Wi-Fi
Nos gustaría darles las gracias a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.