מידע על תוכן האבטחה של tvOS 18.3

מסמך זה מתאר את תוכן האבטחה של tvOS 18.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

tvOS 18.3

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2025-24179‏: Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח להשחית זיכרון תהליך

תיאור: טופלה בעיה באימות קלט.

CVE-2025-24126: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2025-24129: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24131: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת מקומית עלול להשחית זיכרון תהליך

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2025-24137: ‏Uri Katz‏ (Oligo Security)

ARKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24127: ‏Minghao Lin‏ (‎@Y1nKoc), ‏babywu ו-Xingwei Lin מ-Zhejiang University

CoreAudio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24160: ‏Google Threat Analysis Group

CVE-2025-24161: ‏Google Threat Analysis Group

CVE-2025-24163: ‏Google Threat Analysis Group

CoreMedia

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24123: ‏Desmond יחד עם Trend Micro Zero Day Initiative

CVE-2025-24124: ‏Pwn2car ו-Rotiple‏ (HyeongSeok Jang) יחד עם Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 17.2.

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2025-24085

CoreMedia Playback

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24184‏: Song Hyun Bae ‏(‎@bshyuunn) ו-Lee Dong Ha ‏(Who4mI)

Display

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24111: ‏Wang Yu מ-Cyberserval

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24086: ‏DongJun Kim‏ (‎@smlijun) ו-JongSeong Kim‏ (‎@nevul37) ב-Enki WhiteHat, ‏D4m0n

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-24144: ‏Mateusz Krzywicki ‏(‎@krzywix)

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-24107: חוקר אנונימי

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2025-24159: ‏pattern-f‏ (‎@pattern_F_‎)

libxslt

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-55549: ‏Ivan Fratric מ-Google Project Zero

CVE-2025-24855: ‏Ivan Fratric מ-Google Project Zero

PackageKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-31262‏: Mickey Jin ‏(‎@patch1t)

SceneKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-24149: ‏Michael DePlante‏ (‎@izobashi) מ-Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24189: חוקר אנונימי

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24158: ‏Q1IQ‏ (@q1iqF) מ-NUS CuriOSity ו-P1umer‏ (‎@p1umer) מ-Imperial Global Singapore.

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24162: ‏linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab

הכרה נוספת

Audio

אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.

CoreAudio

אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.

iCloud

אנחנו מבקשים להודות ל-Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal India, ל-George Kovaios ול-Srijan Poudel על הסיוע.

Passwords

אנחנו מבקשים להודות ל-Talal Haj Bakry ול-Tommy Mysk מ-Mysk Inc.‎‏ ‎@mysk_co על הסיוע.

Static Linker

אנחנו מבקשים להודות ל-Holger Fuhrmannek על הסיוע.