Tietoja tvOS 26.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 26.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

tvOS 26.4

802.1X

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa verkkoliikennettä.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2026-28865: Héloïse Gollier ja Mathy Vanhoef (KU Leuven)

Audio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28879: Justin Cohen (Google)

Audio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28822: Jex Amro

CoreMedia

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa käsittelyn.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28886: Etienne Charron (Renault) ja Victoria Martini (Renault)

Crash Reporter

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: tietosuojaongelma on ratkaistu poistamalla arkaluontoisia tietoja.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: curlissa oli ongelma, joka saattoi aiheuttaa arkaluontoisten tietojen lähettämisen tahattomasti väärän yhteyden kautta.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-14524

GeoServices

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28870: XiguaSec

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2025-64505

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parannetulla todennuksella.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä luetteloimaan käyttäjän asentamat apit.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2026-28852: Caspian Tarafdar

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2026-20665: webb

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen verkkosivusto saattoi pystyä käsittelemään rajoitettua verkkosisältöä eristyksen ulkopuolella.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28859: greenbynox, Arni Hardarson

Kiitokset

AirPort

Haluamme kiittää avusta Yashar Shahinzadehia, Saman Ebrahimnezhadia, Amir Safaria ja Omid Rezaiia.

Bluetooth

Haluamme kiittää avusta Hamid Mahmoudia.

Captive Network

Haluamme kiittää avusta Kun Peeksiä (@SwayZGl1tZyyy).

CoreUI

Haluamme kiittää avusta Peter Malonea.

Find My

Haluamme kiittää avusta Salemdomainia.

GPU Drivers

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

ICU

Haluamme kiittää avusta Jian Leetä (@speedyfriend433).

Kernel

Haluamme kiittää avusta DARKNAVYA (@DarkNavyOrg), Kylian Boulard De Pouquevillea (Fuzzinglabs), Patrick Ventuzeloa (Fuzzinglabs), Robert Trania ja Suresh Sundaramia.

libarchive

Haluamme kiittää avusta Andreas Jaegersbergeriä ja Ro Achterbergiä (Nosebeard Labs) ja Arni Hardarsonia.

libc

Haluamme kiittää avusta Vitaly Simonovichia.

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

LLVM

Haluamme kiittää avusta Nathaniel Oh’ta (@calysteon).

Messages

Haluamme kiittää avusta JZ:aa.

MobileInstallation

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

ppp

Haluamme kiittää Dave G:tä hänen antamastaan avusta.

Quick Look

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog) ja nimetöntä tutkijaa.

Safari

Haluamme kiittää avusta @RenwaX23:a, Farras Givaria, Syarif Muhammad Sajjadia ja Yairia.

Shortcuts

Haluamme kiittää avusta Waleed Barakatia (@WilDN00B) ja Paul Montgomeryä (@nullevent).

Siri

Haluamme kiittää avusta Anand Mallayaa, teknistä konsulttia, Anand Mallayaa ja kumppaneita, Harsh Kirdoliaa ja Hrishikesh Parmaria (Self-Employed).

Spotlight

Haluamme kiittää avusta Bilge Kaan Mızrakia, Claude & Friends: Risk Analytics Research Groupia ja Zack Tickmania.

Time Zone

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India).

UIKit

Haluamme kiittää avusta AEC:tä, Abhay Kailasiaa (@abhay_kailasia, Safran Mumbai India), Bishal Kaflea (@whoisbishal.k), Carlos Lunaa (U.S. Department of the Navy), Dalibor Milanovicia, Daren Goodchildia, JS De Matteita, Maxwell Garnia, Zack Tickmania, fuyuu12:ta ja incredincompia.

Wallet

Haluamme kiittää avusta Zhongcheng Litä (IES Red Team, ByteDance).

Web Extensions

Haluamme kiittää avusta Carlos Jeurissenia ja Rob Wuta (robwu.nl).

WebKit

Haluamme kiittää avusta Vamshi Pailia.

WebKit Process Model

Haluamme kiittää avusta Joseph Semaania.

Wi-Fi

Haluamme kiittää avusta Kun Peeksia (@SwayZGl1tZyyy) ja nimetöntä tutkijaa.

Wi-Fi Connectivity

Haluamme kiittää avusta Alex Radoceaa (Supernetworks, Inc).

Widgets

Haluamme kiittää avusta Marcel Voßia, Mitul Pranjayta ja Serok Çelikiä.