Acerca del contenido de seguridad de tvOS 26.5

En este documento, se describe el contenido de seguridad de tvOS 26.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

tvOS 26.5

Accelerate

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28959: Dave G.

App Intents

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) para Reverse Society

AppleJPEG

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar una denegación de servicio

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2026-1837

AppleJPEG

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso

Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.

CVE-2026-28956: impost0r (ret2plt)

Audio

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de una secuencia de audio en un archivo multimedia creado con fines malintencionados podía dar por terminado el proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-39869: David Ige de Beryllium Security

CoreSymbolication

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el análisis de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2026-28918: Niels Hofmans, anónimo en colaboración con el programa Zero Day Initiative de TrendAI

ImageIO

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.

CVE-2026-43661: Un investigador anónimo

ImageIO

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de un archivo de creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2026-28977: Suresh Sundaram

ImageIO

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda determinar la distribución de la memoria del kernel

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-43655: Somair Ansar y un investigador anónimo

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de búferes.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2026-28972: Billy Jheng Bing Jhong y Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman por Xint Code (xint.io)

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de Talence Security, Ryan Hileman por Xint Code (xint.io)

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía filtrar el estado confidencial del kernel.

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio

Descripción: Para solucionar un problema de tipo confusión, se mejoraron las comprobaciones.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43653: Atul R V

mDNSResponder

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Se mejoró la validación de entradas para solucionar un problema de falta de referencia de puntero nulo.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante en la red local puede provocar una denegación de servicio

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda generar daños en la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28940: Michael DePlante (@izobashi) del programa Zero Day Initiative de TrendAI

SceneKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Un atacante remoto podía provocar el cierre inesperado de la app.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2026-28846: Peter Malone

Spotlight

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía provocar una denegación de servicio.

Descripción: A fin de solucionar este problema, se mejoraron las comprobaciones para impedir las acciones no autorizadas.

CVE-2026-28974: Andy Koo (@andykoo) de Hexens

Storage

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2026-28996: Alex Radocea

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se solucionó un problema de validación mejorando la lógica.

CVE-2026-43660: Cantina

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía evitar que se aplicaran las políticas de seguridad del contenido.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28907: Cantina

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-43658: Do Young Park

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu y Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anónimo en colaboración con el programa Zero Day Initiative de TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac y Kookhwan Lee en colaboración con el programa Zero Day Initiative de TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) de Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: equipo de investigación de seguridad ofensiva de Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern y Guido Vranken), Maher Azzouzi, Ngan Nguyen y Calif.io

CVE-2026-28913: Un investigador anónimo

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado del proceso.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2026-28917: Vitaly Simonovich

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr y Nicholas Carlini con Claude, Anthropic

Wi-Fi

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Un atacante en una posición de red privilegiada podía realizar un ataque de denegación de servicio mediante paquetes de Wi-Fi creados.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

CVE-2026-28994: Alex Radocea

zlib

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: La visita a un sitio web creado con fines malintencionados podía filtrar información confidencial.

Descripción: Se abordó una filtración de información con validación adicional.

CVE-2026-28920: Brendon Tiszka de Proyecto Cero de Google

Otros agradecimientos

App Intents

Nos gustaría darle las gracias a Mikael Kinnman por su ayuda.

Apple Account

Nos gustaría darle las gracias a Iván Savransky y YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.

AuthKit

Nos gustaría darle las gracias a Gongyu Ma (@Mezone0) por su ayuda.

CoreUI

Nos gustaría darle las gracias a Mustafa Calap por su ayuda.

ICU

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

Kernel

Nos gustaría darle las gracias a Ryan Hileman por Xint Code (xint.io), Suresh Sundaram y un investigador anónimo por su ayuda.

Libnotify

Nos gustaría darle las gracias a Ilias Morad (@A2nkF_) por su ayuda.

mDNSResponder

Nos gustaría darle las gracias a Jason Grove por su ayuda.

Siri

Nos gustaría darle las gracias a Yoav Magid por su ayuda.

WebKit

Nos gustaría darle las gracias a Vitaly Simonovich por su ayuda.