.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Tietoja tvOS 26.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 26.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

tvOS 26.5

Julkaistu 11.5.2026

Accelerate

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28959: Dave G.

App Intents

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) Reverse Societylle

AppleJPEG

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2026-1837

AppleJPEG

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai korruptoida järjestelmämuistin.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28956: impost0r (ret2plt)

Audio

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen mediatiedoston äänistriimin käsittely saattoi lopettaa prosessin.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-39869: David Ige (Beryllium Security)

CoreSymbolication

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-28918: Niels Hofmans, nimetön tutkija yhteistyössä TrendAI Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43661: nimetön tutkija

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2026-28977: Suresh Sundaram

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43655: Somair Ansar ja nimetön tutkija

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Robert Tran, Aswin Kumar Gokulakannan

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2026-28972: Billy Jheng Bing Jhong ja Pan Zhenpeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec, Talence Security), Ryan Hileman Xint Coden (xint.io) kautta

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kirjausongelma on ratkaistu parantamalla tietojen sensurointia.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-43653: Atul R V

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä paikallisessa verkossa saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvan käsitteleminen saattoi vioittaa prosessimuistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2026-28940: Michael DePlante (@izobashi, TrendAI Zero Day Initiative)

SceneKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2026-28846: Peter Malone

Spotlight

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2026-28974: Andy Koo (@andykoo, Hexens)

Storage

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2026-28996: Alex Radocea

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu ja Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), nimetön yhteistyössä TrendAI Zero Day Initiativen kanssa, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: nimimerkki wac ja Kookhwan Lee yhteistyössä TrendAI Zero Day Initiativen kanssa

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec, Talence Security), Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aislen Offensive Security -tutkimustiimi (Joshua Rogers, Luigino Camastra, Igor Morgenstern ja Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

WebKit Bugzilla: 311631

CVE-2026-28913: nimetön tutkija

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla annettujen tietojen validointia.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr ja Nicholas Carlini yhteistyössä Clauden (Anthropic) kanssa

Wi-Fi

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Wi-Fi-paketteja.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2026-28994: Alex Radocea

zlib

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.

Kuvaus: tietovuoto-ongelma on ratkaistu lisätarkistuksilla.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Kiitokset

App Intents

Haluamme kiittää avusta Mikael Kinnmania.

Apple Account

Haluamme kiittää avusta Iván Savranskya ja YingQi Shitä (@Mas0nShi) (DBAppSecurityn WeBin-laboratorio).

AuthKit

Haluamme kiittää avusta Gongyu Mata (@Mezone0).

CoreUI

Haluamme kiittää avusta Mustafa Calapia.

ICU

Haluamme kiittää avusta nimetöntä tutkijaa.

Kernel

Haluamme kiittää avusta Ryan Hilemania Xint Coden (xint.io) kautta, Suresh Sundaramia ja nimetöntä tutkijaa.

Libnotify

Haluamme kiittää avusta Ilias Moradia (@A2nkF_).

mDNSResponder

Haluamme kiittää avusta Jason Grovea.

Siri

Haluamme kiittää avusta Yoav Magidia.

WebKit

Haluamme kiittää avusta Vitaly Simonovichia.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 15. toukokuuta 2026