Acerca del contenido de seguridad de tvOS 26.1
En este documento, se describe el contenido de seguridad de tvOS 26.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
tvOS 26.1
Publicado el 3 de noviembre de 2025
Apple Neural Engine
Disponible para Apple TV 4K (2.ª generación y posterior)
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o dañar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-43462: Un investigador anónimo
AppleMobileFileIntegrity
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía salir de su zona protegida
Descripción: Se mejoraron los derechos para solucionar este problema.
CVE-2025-43407: JZ
CloudKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía salir de su zona protegida
Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía enumerar las aplicaciones instaladas por el usuario.
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43436: Zhongcheng Li de IES Red Team de ByteDance
CoreText
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2025-43445: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
FontParser
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso.
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-43400: Apple
Installer
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que una app pueda registrar la huella digital del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43444: Zhongcheng Li de IES Red Team de ByteDance
Kernel
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app aislada podía observar las conexiones de red de todo el sistema.
Descripción: Para solucionar un problema de acceso, se agregaron restricciones de la zona protegida.
CVE-2025-43413: Dave G. y Alex Radocea de supernetworks.org
MallocStackLogging
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Existía un problema en el manejo de variables del entorno. Este problema se solucionó mejorando la validación.
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Model I/O
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43386: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro
CVE-2025-43385: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro
CVE-2025-43384: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro
CVE-2025-43383: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.
Descripción: Para solucionar este problema, se mejoró la comprobación.
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró la administración del estado.
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Google Big Sleep
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
WebKit Bugzilla: 299843
CVE-2025-43443: Un investigador anónimo
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen de Google
WebKit Bugzilla: 298851
CVE-2025-43425: Un investigador anónimo
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoraron las comprobaciones
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 298093
CVE-2025-43433: Google Big Sleep
WebKit Bugzilla: 298194
CVE-2025-43431: Google Big Sleep
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
WebKit
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
WebKit Bugzilla: 298232
CVE-2025-43429: Google Big Sleep
WebKit Canvas
Disponible para Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: Un sitio web podía exfiltrar orígenes cruzados de datos de imágenes.
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
Otros agradecimientos
MobileInstallation
Nos gustaría darle las gracias a Bubble Zhang por su ayuda.
WebKit
Nos gustaría darles las gracias a Enis Maholli (enismaholli.com) y Google Big Sleep por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.