.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

À propos des correctifs de sécurité de tvOS 26.5

Ce document décrit les correctifs de sécurité de tvOS 26.5.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

tvOS 26.5

Publié le 11 mai 2026

Accelerate

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait être en mesure de provoquer un déni de service.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-28991 : Seiji Sakurai (@HeapSmasher)

APFS

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28959 : Dave G.

App Intents

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app malveillante peut être en mesure de quitter sa sandbox.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2026-28995 : Vamshi Paili, Tony Gorez (@tonygo_) pour Reverse Society

AppleJPEG

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service

Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.

CVE-2026-1837

AppleJPEG

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un fichier média malveillant pourrait entraîner la fermeture inopinée d’une app ou une corruption de la mémoire de traitement.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2026-28956 : impost0r (ret2plt)

Audio

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-39869 : David Ige de Beryllium Security

CoreSymbolication

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : l’analyse d’un fichier malveillant pourrait entraîner l’arrêt inopiné d’apps.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-28918 : Niels Hofmans, une contribution anonyme en collaboration avec le programme Zero Day Initiative de TrendAI

ImageIO

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’une image malveillante pourrait corrompre la mémoire de traitement.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43661 : un chercheur ou une chercheuse anonyme

ImageIO

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2026-28977 : Suresh Sundaram

ImageIO

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’une image malveillante pourrait corrompre la mémoire de traitement.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28990 : Jiri Ha, Arni Hardarson

IOHIDFamily

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant pourrait provoquer la fermeture inopinée d’une app.

Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.

CVE-2026-28992 : Johnny Franks (@zeroxjf)

IOHIDFamily

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app peut être en mesure de déterminer la structure de la mémoire noyau.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-28943 : Threat Analysis Group de Google

IOKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28969 : Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système ou de lire la mémoire du noyau.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-43655 : Somair Ansar et un chercheur ou une chercheuse anonyme

Kernel

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait divulguer le contenu de la mémoire du noyau.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43654 : Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un utilisateur local peut être en mesure d’entraîner l’arrêt inopiné du système ou la lecture du contenu de la mémoire du noyau.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation des entrées.

CVE-2026-28897 : popku1337, Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait provoquer l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.

CVE-2026-28972 : Billy Jheng Bing Jhong et Pan Zhenpeng (@Peterpan0927) de STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait provoquer un arrêt inopiné du système.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28986 : Chris Betz, Tristan Madani (@TristanInSec) de Talence Security et Ryan Hileman via Xint Code (xint.io)

Kernel

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app peut divulguer des informations sensibles sur l’état du noyau.

Description : un problème de journalisation a été résolu par l’amélioration du masquage des données.

CVE-2026-28987 : Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème de confusion de types a été résolu par de meilleures vérifications.

CVE-2026-28983 : Ruslan Dautov

mDNSResponder

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant sur le réseau local pourrait être en mesure d’entraîner un déni de service.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43653 : Atul R V

mDNSResponder

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant sur le réseau local pourrait être en mesure d’entraîner un déni de service.

Description : un déréférencement de pointeurs null a été résolu par une meilleure validation des entrées.

CVE-2026-28985 : Omar Cerrito

mDNSResponder

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant distant est susceptible d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-43668 : Anton Pakhunov et Ricardo Prado

mDNSResponder

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant sur le réseau local pourrait être en mesure d’entraîner un déni de service.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-43666 : Ian van der Wurff (ian.nl)

Model I/O

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’une image malveillante pourrait corrompre la mémoire de traitement.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28940 : Michael DePlante (@izobashi) du programme Zero Day Initiative de TrendAI

SceneKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant ou une attaquante à distance pourrait provoquer la fermeture inopinée d’apps.

Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.

CVE-2026-28846 : Peter Malone

Spotlight

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait être en mesure de provoquer un déni de service.

Description : ce problème a été résolu par l’application de meilleures vérifications pour éviter les actions non autorisées.

CVE-2026-28974 : Andy Koo (@andykoo) de Hexens

Storage

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur ou de l’utilisatrice.

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2026-28996 : Alex Radocea

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : un problème de validation a été résolu par une meilleure logique.

WebKit Bugzilla : 308906

CVE-2026-43660 : Cantina

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement de contenu web malveillant pourrait empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure validation des entrées.

WebKit Bugzilla : 308675

CVE-2026-28907 : Cantina

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 307669

CVE-2026-43658 : Do Young Park

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : le problème a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 308545

CVE-2026-28905 : Yuhao Hu, Yuanming Lai, Chenggang Wu et Zhe Wang

WebKit Bugzilla : 308707

CVE-2026-28847 : DARKNAVY (@DarkNavyOrg), une contribution anonyme en collaboration avec le programme Zero Day Initiative de TrendAI et Daniel Rhea

WebKit Bugzilla : 309601

CVE-2026-28904 : Luka Rački

WebKit Bugzilla : 310880

CVE-2026-28955 : wac et Kookhwan Lee en collaboration avec le programme Zero Day Initiative de TrendAI

WebKit Bugzilla : 310303

CVE-2026-28903 : Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla : 309628

CVE-2026-28953 : Maher Azzouzi

WebKit Bugzilla : 309861

CVE-2026-28902 : Tristan Madani (@TristanInSec) de Talence Security et Nathaniel Oh (@calysteon)

WebKit Bugzilla : 310207

CVE-2026-28901 : équipe de recherche sur la sécurité offensive d’Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern et Guido Vranken), Maher Azzouzi et Ngan Nguyen de Calif.io

WebKit Bugzilla : 311631

CVE-2026-28913 : un chercheur ou une chercheuse anonyme

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : un problème d’utilisation ultérieure libre a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 313939

CVE-2026-28883 : kwak kiyong/kakaogames

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : ce problème a été résolu par une meilleure validation des entrées.

WebKit Bugzilla : 310527

CVE-2026-28917 : Vitaly Simonovich

WebKit

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.

Description : un problème d’utilisation ultérieure libre a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 310234

CVE-2026-28947 : dr3dd

WebKit Bugzilla : 312180

CVE-2026-28942 : Milad Nasr et Nicholas Carlini avec Claude, Anthropic

Wi-Fi

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : un attaquant ou une attaquante bénéficiant d’une position privilégiée sur le réseau pourrait provoquer une attaque par déni de service par le biais de paquets Wi-Fi élaborés.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28994 : Alex Radocea

zlib

Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)

Conséquence : la consultation d’un site web malveillant peut donner lieu à une fuite de données sensibles.

Description : une fuite d’informations a été résolue par une validation supplémentaire.

CVE-2026-28920 : Brendon Tiszka de Google Project Zero

Remerciements supplémentaires

App Intents

Nous tenons à remercier Mikael Kinnman pour son aide.

Apple Account

Nous tenons à remercier Iván Savransky et YingQi Shi (@Mas0nShi) du laboratoire WeBin de DBAppSecurity pour leur aide.

AuthKit

Nous tenons à remercier Gongyu Ma (@Mezone0) pour son aide.

CoreUI

Nous tenons à remercier Mustafa Calap pour son aide.

ICU

Nous tenons à remercier un chercheur ou une chercheuse anonyme pour son aide.

Kernel

Nous tenons à remercier Ryan Hileman via Xint Code (xint.io), Suresh Sundaram et un chercheur ou une chercheuse anonyme pour leur aide.

Libnotify

Nous tenons à remercier Ilias Morad (@A2nkF_) pour son aide.

mDNSResponder

Nous tenons à remercier Jason Grove pour son aide.

Siri

Nous tenons à remercier Yoav Magid pour son aide.

WebKit

Nous tenons à remercier Vitaly Simonovich pour son aide.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: mai 15, 2026