מידע על תוכן האבטחה של tvOS 18.6
מסמך זה מתאר את תוכן האבטחה של tvOS 18.6.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
tvOS 18.6
הופץ ב-29 ביולי 2025
afclip
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43186: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CFNetwork
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: משתמש ללא הרשאות עלול להצליח לשנות הגדרות רשת מוגבלות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2025-43223: Andreas Jaegersberger ו-Ro Achterberg מ-Nosebeard Labs
CoreAudio
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להשחתת הזיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-43277: Google's Threat Analysis Group
CoreMedia
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43210: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreMedia Playback
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2025-43230: Chi Yuan Chang מ-ZUSO ART ו-taikosoup
ICU
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43209: Gary Kwong בעבודה עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2025-43226
libxml2
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ עלול להוביל להשחתת הזיכרון
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-7425: סרגיי גלזונוב מ-Google Project Zero
libxslt
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-7424: Ivan Fratric מ-Google Project Zero
Metal
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2025-43234: Vlad Stolyarov of Google's Threat Analysis Group
Model I/O
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ מדיה בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להשחתת זיכרון תהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-43224: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Model I/O
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-31281: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu ו-Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu ו-Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu ו-Xiaojie Wei
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri ביחד עם Trend Micro Zero Day Initiative, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) ו-Ziling Chen
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu, and Xiaojie Wei
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפת המצבים הפנימיים של היישום
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) מ-DEVCORE Research Team
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne ו-Vlad Stolyarov מ-Threat Analysis Group של Google
הכרה נוספת
Bluetooth
אנחנו מבקשים להודות ל-LIdong LI, ל-Xiao Wang, ל-Shao Dong Chen ול-Chao Tan מ-Source Guard על הסיוע.
CoreAudio
אנחנו רוצים להודות ל-Noah Weinberg על הסיוע.
libxml2
אנחנו מבקשים להודות ל-Sergei Glazunov מ-Google Project Zero על הסיוע.
libxslt
ברצוננו להודות לאיוון פרטריץ' מ-Google Project Zero על הסיוע.
WebKit
אנחנו רוצים להודות ל-Google V8 Security Team, ל-Yuhao Hu, ל-Yan Kang, ל-Chenggang Wu ול-Xiaojie Wei, rheza (@ginggilBesel) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.