Tietoja tvOS 26.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 26.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

tvOS 26.3

Bluetooth

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Bluetooth-paketteja.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2026-20650: jioundai

CoreAudio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20611: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

CoreMedia

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit, Iru)

dyld

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä, jolla oli muistin kirjoitusoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää erittäin edistyneessä hyökkäyksessä tiettyjä yksilöitä vastaan iOS 26 -versiota edeltävissä iOS-versioissa. Myös CVE-2025-14174 ja CVE-2025-43529 julkaistiin tähän reporttiin liittyen.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-20649: Asaf Cohen

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-20675: George Karchemsky (@gkarchemsky) yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20634: George Karchemsky (@gkarchemsky) yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-59375

Sandbox

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: tietosuojaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20635: EntryHi

Kiitokset

Bluetooth

Haluamme kiittää avusta Tommaso Sacchettia.

Kernel

Haluamme kiittää avusta Joseph Ravichandrania (@0xjprx, MIT CSAIL) ja Xinru Chitä (Pangu Lab).

libpthread

Haluamme kiittää avusta Fabiano Anemonea.

NetworkExtension

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

Transparency

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog).

WebKit

Haluamme kiittää avusta nimimerkkiä EntryHi, Luigino Camastraa (Aisle Research), Stanislav Fortia (Aisle Research), Vsevolod Kokorinia (Slonser, Solidlab) ja Jorian Woltjeria.