À propos des correctifs de sécurité de tvOS 18.6
Ce document décrit les correctifs de sécurité de tvOS 18.6.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
tvOS 18.6
Publié le 29 juillet 2025
afclip
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : l’analyse d’un fichier peut entraîner la fermeture inopinée d’une app.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2025-43186 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CFNetwork
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un utilisateur non privilégié peut être en mesure de modifier des réglages réseau restreints.
Description : un problème de déni de service a été résolu par une meilleure validation de l’entrée.
CVE-2025-43223 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs
CoreAudio
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier audio spécialement conçu peut entraîner une corruption de la mémoire.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2025-43277 : Google Threat Analysis Group
CoreMedia
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier multimédia malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2025-43210 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CoreMedia Playback
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : le problème a été résolu par des vérifications d’autorisations supplémentaires.
CVE-2025-43230 : Chi Yuan Chang de ZUSO ART et taikosoup
ICU
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2025-43209 : Gary Kwong en collaboration avec Trend Micro Zero Day Initiative
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2025-43226
libxml2
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier peut entraîner une corruption de la mémoire.
Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et la référence CVE sur le site cve.org.
CVE-2025-7425 : Sergei Glazunov de Google Project Zero
libxslt
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu Web malveillant peut conduire à une corruption de la mémoire.
Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.
CVE-2025-7424 : Ivan Fratric de Google Project Zero
Metal
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une texture malveillante peut entraîner la fermeture inopinée d’une app.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.
CVE-2025-43234 : Vlad Stolyarov du Google Threat Analysis Group
Model I/O
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier multimédia malveillant peut entraîner la fermeture inopinée d’une app ou la corruption de la mémoire du processus.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2025-43224 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2025-43221 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Model I/O
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.
Description : un problème de validation des entrées a été résolu par une meilleure gestion de la mémoire.
CVE-2025-31281 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.
Description : ce problème a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 292888
CVE-2025-43227 : Gilad Moav
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu Web malveillant peut conduire à une corruption de la mémoire.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 291742
CVE-2025-31278 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei
WebKit Bugzilla : 291745
CVE-2025-31277 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei
WebKit Bugzilla : 293579
CVE-2025-31273 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 292599
CVE-2025-43214 : shandikri en collaboration avec Trend Micro Zero Day Initiative et Google V8 Security Team
WebKit Bugzilla : 292621
CVE-2025-43213 : Google V8 Security Team
WebKit Bugzilla : 293197
CVE-2025-43212 : Nan Wang (@eternalsakura13) et Ziling Chen
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu Web peut entraîner un déni de service.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 293730
CVE-2025-43211 : Yuhao Hu, Yan Kang, Chenggang Wu et Xiaojie Wei
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement de contenu web malveillant pourrait entraîner la divulgation des états internes de l’app.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
WebKit Bugzilla : 294182
CVE-2025-43265 : HexRabbit (@h3xr4bb1t) de l’équipe de recherche DEVCORE
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 295382
CVE-2025-43216 : Ignacio Sanmillan (@ulexec)
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de Safari.
Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et la référence CVE sur le site cve.org.
WebKit Bugzilla : 296459
CVE-2025-6558 : Clément Lecigne et Vlad Stolyarov de Google Threat Analysis Group
Remerciements supplémentaires
Bluetooth
Nous tenons à remercier LIdong LI, Xiao Wang, Shao Dong Chen et Chao Tan de Source Guard pour leur aide.
CoreAudio
Nous tenons à remercier Noah Weinberg pour son aide.
libxml2
Nous tenons à remercier Sergei Glazunov de Google Project Zero pour son aide.
libxslt
Nous tenons à remercier Ivan Fratric de Google Project Zero pour son aide.
WebKit
Nous tenons à remercier Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei et rheza (@ginggilBesel) pour leur aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.