מידע על תוכן האבטחה של tvOS 18.4

מסמך זה מתאר את תוכן האבטחה של tvOS 18.4.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

tvOS 18.4

AirDrop

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לקרוא מטה-נתונים של קבצים שרירותיים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2025-24097: ‏Ron Masas מ-BREAKPOINT.SH

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.

CVE-2025-31202: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: משתמש לא מאומת באותה רשת שאליה מחובר Mac יכול לשלוח אליו פקודות AirPlay מבלי שבוצע קישור

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2025-24271: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2025-24270: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח להשחית זיכרון תהליך

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-24252: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24251: ‏Uri Katz‏ (Oligo Security)

CVE-2025-31197: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח לעקוף מדיניות אימות

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24206: ‏Uri Katz‏ (Oligo Security)

AirPlay

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול לגרום לסיום בלתי צפוי של יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2025-30445: ‏Uri Katz‏ (Oligo Security)

Audio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לעקוף את ASLR

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2025-43205: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Audio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24244: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Audio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24243: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

Calendar

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-30429: ‏Denis Tokarev‏ (‎@illusionofcha0s)

Calendar

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2025-24212: ‏Denis Tokarev‏ (‎@illusionofcha0s)

CoreAudio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2025-24163: ‏Google Threat Analysis Group

CoreAudio

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: הפעלת קובץ שמע זדוני עלולה להוביל לסיום בלתי צפוי של יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-24230: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreGraphics

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-31196: ‏wac ביחד עם Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: בעיה זו טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24211: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24190: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreMedia Playback

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2025-30454: ‏pattern-f‏ (‎@pattern_F_‎)

CoreServices

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-31191: ‏Jonathan Bar Or‏ (‎@yo_yo_yo_jbo) מ-Microsoft וחוקר אנונימי

CoreText

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2025-24182: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

CoreUtils

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף ברשת המקומית עלול להצליח לגרום למניעת שירות

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2025-31203: ‏Uri Katz‏ (Oligo Security)

curl

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: טופלה בעיה באימות קלט

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-9681

Foundation

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה על ידי טיהור הרישום

CVE-2025-30447: ‏LFY@secsys מאוניברסיטת פודן

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח תמונה עלול להוביל לחשיפת מידע של משתמש

תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.

CVE-2025-24210: אנונימי בעבודה עם Trend Micro Zero Day Initiative

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לנסות להזין קודי גישה במכשיר נעול ולגרום בכך לעיכובי זמן הולכים וגדלים לאחר ארבעה ניסיונות כושלים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30432: ‏Michael (Biscuit) Thomas - ‏‎@biscuit@social.lol

libarchive

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: טופלה בעיה באימות קלט

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-48958

libnetcore

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-24194: חוקר אנונימי

libxml2

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-24178: חוקר אנונימי

libxpc

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2025-31182: ‏Alex Radocea ו-Dave G.‎ מ-Supernetworks‏, 风沐云烟‏(‎@binary_fmyy) ו-Minghao Lin‏(‎@Y1nKoc)

libxpc

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2025-24238: חוקר אנונימי

NetworkExtension

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-30426: ‏Jimmy

Power Services

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2025-24173: ‏Mickey Jin‏ (‎@patch1t)

Security

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2025-30471: ‏Bing Shi, ‏Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ‏Luyi Xing מ-Indiana University Bloomington

Share Sheet

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לדחות את עדכון המערכת במסך הנעילה לגבי התחלת הקלטה

תיאור: בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2025-30438: ‏Halle Winkler‏, Politepix‏ theoffcuts.org

Siri

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.

CVE-2025-31183: ‏Kirin‏ (‎@Pwnrin), ‏Bohdan Stasiuk‏ (‎@bohdan_stasiuk)

Siri

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2025-24217: ‏Kirin‏ (‎@Pwnrin)

Siri

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות ביטול הרישום ביומן של תוכן שדות טקסט.

CVE-2025-24214: ‏Kirin‏ (‎@Pwnrin)

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24264: ‏Gary Kwong וחוקר אנונימי

CVE-2025-24216: ‏Paul Bakker מ-ParagonERP

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2025-24209: ‏Francisco Alonso‏ (‎@revskills) וחוקר אנונימי

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2025-30427: ‏rheza‏ (‎@ginggilBesel)

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים ב-Safari במצב גלישה פרטית

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2025-30425: חוקר אנונימי

הכרה נוספת

Accounts

אנחנו מבקשים להודות ל-Bohdan Stasiuk‏ (‎@bohdan_stasiuk) על הסיוע.

AirPlay

אנחנו מבקשים להודות ל-Uri Katz‏ (Oligo Security) על הסיוע.

Apple Account

אנחנו מבקשים להודות ל-Byron Fecho על הסיוע.

Find My

אנחנו מבקשים להודות ל-神罚‏ (‎@Pwnrin) על הסיוע.

Foundation

אנחנו מבקשים להודות ל-Jann Horn מ-Google Project Zero על הסיוע.

Handoff

אנחנו מבקשים להודות ל-Kirin ול-FlowerCode על הסיוע.

HearingCore

אנחנו מבקשים להודות ל- Kirin@Pwnrin ול-LFY@secsys מאוניברסיטת פודן על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-D4m0n על הסיוע.

Photos

אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.

Sandbox Profiles

אנחנו מבקשים להודות ל-Benjamin Hornbeck על הסיוע.

SceneKit

אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer.‎ nat.‎ על הסיוע.

Security

אנחנו מבקשים להודות ל-Kevin Jones‏ (GitHub) על הסיוע.

Siri

אנחנו מבקשים להודות ל-Lyutoon על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Gary Kwong, ל-P1umer‏ (‎@p1umer) ול-Q1IQ‏ (‎@q1iqF), ל-Wai Kin Wong, ל-Dongwei Xiao, ל-Shuai Wang ול-Daoyuan Wu מ-HKUST Cybersecurity Lab, ל-Anthony Lai‏ (‎@darkfloyd1014) מ-VXRL, ל-Wong Wai Kin, ל-Dongwei Xiao ול-Shuai Wang מ-HKUST Cybersecurity Lab, ל-Anthony Lai‏ (‎@darkfloyd1014) מ-VXRL.‎, ל-Xiangwei Zhang מ-Tencent Security YUNDING LAB, ל-냥냥 ולחוקר אנונימי על הסיוע.