Tietoja tvOS 26:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 26:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

tvOS 26

Apple Neural Engine

Saatavuus: Apple TV 4K (2. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43344: nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43346: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen appi saattoi pystyä lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Bluetooth

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2025-43354: Csaba Fitzl (@theevilbit, Kandji)

CVE-2025-43303: Csaba Fitzl (@theevilbit, Kandji)

CloudKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.

CVE-2025-43323: Yinyi Wu (@_3ndy1) (Dawn Security Lab, JD.com, Inc)

CoreAudio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2025-43349: @zlluny yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2025-43372: 이동하 (Lee Dong Ha, SSA Lab)

IOHIDFamily

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2025-43302: Keisuke Hosoda

IOKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2025-31255: Csaba Fitzl (@theevilbit, Kandji)

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: paikalliseen käyttöliittymään yhdistetty UDP-palvelinsoketti saattoi yhdistyä kaikkiin käyttöliittymiin.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43359: Viktor Oreshkin

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43345: Mickey Jin (@patch1t)

MobileStorageMounter

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43355: Dawuge (Shuffle Team)

Sandbox

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2025-43329: nimetön tutkija

SQLite

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Tiedoston käsitteleminen saattoi aiheuttaa muistin korruptoitumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-6965

System

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: syötteen vahvistusongelma on korjattu.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever) ja Luke Roberts (@rookuu)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Verkkosivusto saattoi pystyä käyttämään tunnistintietoja ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2025-43356: Jaydev Ahire

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43343: nimetön tutkija

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

CVE-2025-43342: nimetön tutkija

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2025-43376: Mike Cardwell (grepular.com), Bob Lord

Kiitokset

Accounts

Haluamme kiittää avusta henkilöä 要乐奈.

AuthKit

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

CFNetwork

Haluamme kiittää avusta Christian Kohlschütteria.

Core Bluetooth

Haluamme kiittää avusta Leon Böttgeriä.

CoreMedia

Haluamme kiittää avusta Noah Gregorya (wts.dev).

darwinOS

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

Foundation

Haluamme kiittää Csaba Fitzliä (@theevilbit, Kandji) hänen antamastaan avusta.

ImageIO

Haluamme kiittää avusta DongJun Kimiä (@smlijun) ja JongSeong Kimiä (@nevul37) (Enki WhiteHat).

Kernel

Haluamme kiittää avusta Yepeng Pania ja Prof. Dr. Christian Rossow’ta.

libc

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

libpthread

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

libxml2

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

mDNSResponder

Haluamme kiittää avusta Barrett Lyonia.

MediaRemote

Haluamme kiittää avusta Dora Orakia.

Sandbox Profiles

Haluamme kiittää avusta Rosyna Kelleriä (Totally Not Malicious Software).

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja henkilöä 要乐奈.

WebKit

Haluamme kiittää avusta Matthew Liangia.

Wi-Fi

Haluamme kiittää avusta Aobo Wangia (@M4x_1997), Csaba Fitzliä (@theevilbit, Kandji), Noah Gregorya (wts.dev), Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.