מידע על תוכן האבטחה של tvOS 26.4
מסמך זה מתאר את תוכן האבטחה של tvOS 26.4.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
tvOS 26.4
הופץ ב-24 במרץ 2026
802.1X
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2026-28865: Héloïse Gollier ו-Mathy Vanhoef (KU Leuven)
Audio
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2026-28879: Justin Cohen מ-Google
Audio
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-28822: Jex Amro
CoreMedia
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד זרם שמע בקובץ מדיה בעל מבנה זדוני עלול להביא לסיום התהליך
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2026-20690: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CoreUtils
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: משתמש במיקום רשת מורשה עלול להצליח לגרום למניעת שירות
תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.
CVE-2026-28886: Etienne Charron (Renault) ו-Victoria Martini (Renault)
Crash Reporter
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש
תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.
CVE-2026-28878: Zhongcheng Li מ-IES Red Team
curl
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: הייתה בעיה ב-curl שעלולה להביא באופן לא מכוון לשליחת מידע רגיש דרך חיבור שגוי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-14524
GeoServices
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: דליפת מידע טופלה עם אימות נוסף.
CVE-2026-28870: XiguaSec
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2025-64505
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: בעיה זו טופלה באמצעות אימות משופר.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2026-20698: DARKNAVY (@DarkNavyOrg)
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2026-20687: Johnny Franks (@zeroxjf)
libxpc
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח למנות יישומים מותקנים של משתמש
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2026-28882: Ilias Morad (A2nkF) מ-Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Sandbox Profiles
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2026-28863: Gongyu Ma (@Mezone0)
UIFoundation
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: גלישת מחסנית טופלה בעזרת אימות קלט משופר.
CVE-2026-28852: Caspian Tarafdar
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול להצליח לעבד תוכן אינטרנט מוגבל מחוץ לארגז החול
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 308248
CVE-2026-28859: greenbynox, Arni Hardarson
תודות נוספות
AirPort
אנחנו מבקשים להודות ל-Yashar Shahinzadeh, ל-Saman Ebrahimnezhad, ל-Amir Safari ול-Omid Rezaii על הסיוע.
Bluetooth
אנחנו מבקשים להודות ל-Hamid Mahmoud על הסיוע.
Captive Network
אנחנו מבקשים להודות ל-Kun Peeks (@SwayZGl1tZyyy) על הסיוע.
CoreUI
אנחנו מבקשים להודות ל-Peter Malone על הסיוע.
Find My
אנחנו מבקשים להודות ל-Salemdomain על הסיוע.
GPU Drivers
אנחנו מבקשים להודות ל-Jian Lee (@speedyfriend433) על הסיוע.
ICU
אנחנו מבקשים להודות ל-Jian Lee (@speedyfriend433) על הסיוע.
Kernel
אנחנו מבקשים להודות ל-DARKNAVY (@DarkNavyOrg), ל-Kylian Boulard De Pouqueville מ-Fuzzinglabs, ל-Patrick Ventuzelo מ-Fuzzinglabs, ל-Robert Tran ול-Suresh Sundaram על הסיוע.
libarchive
אנחנו מבקשים להודות ל-Andreas Jaegersberger ול-Ro Achterberg מ-Nosebeard Labs וכן ל-Arni Hardarson על הסיוע.
libc
אנחנו מבקשים להודות ל-Vitaly Simonovich על הסיוע.
Libnotify
אנחנו מבקשים להודות ל-Ilias Morad (@A2nkF_) על הסיוע.
LLVM
אנחנו מבקשים להודות ל-Nathaniel Oh (@calysteon) על הסיוע.
Messages
אנחנו מבקשים להודות ל-JZ על הסיוע.
MobileInstallation
אנחנו מבקשים להודות ל-Gongyu Ma (@Mezone0) על הסיוע.
ppp
אנחנו מבקשים להודות ל-Dave G. על הסיוע.
Quick Look
אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing (wojciechregula.blog) ולחוקר אנונימי על הסיוע.
Safari
אנחנו מבקשים להודות ל-@RenwaX23, ל-Farras Givari, ל-Syarif Muhammad Sajjad ול-Yair על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Waleed Barakat (@WilDN00B) ול-Paul Montgomery (@nullevent) על הסיוע.
Siri
אנחנו מבקשים להודות ל-Anand Mallaya, יועץ טכני, מ-Anand Mallaya and Co., ל-Harsh Kirdolia ול-Hrishikesh Parmar מ-Self-Employed על הסיוע.
Spotlight
אנחנו מבקשים להודות ל-Bilge Kaan Mızrak, ל-Claude & Friends: Risk Analytics Research Group ול-Zack Tickman על הסיוע.
Time Zone
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Safran שבמומבאי, הודו, על הסיוע.
UIKit
אנחנו מבקשים להודות ל-AEC, ל-Abhay Kailasia (@abhay_kailasia) מ-Safran Mumbai India, ל-Bishal Kafle (@whoisbishal.k), ל-Carlos Luna (U.S. Department of the Navy), ל-Dalibor Milanovic, ל-Daren Goodchild, ל-JS De Mattei, ל-Maxwell Garn, ל-Zack Tickman, ל-fuyuu12 ול-incredincomp על הסיוע.
Wallet
אנחנו מבקשים להודות ל-Zhongcheng Li מ-IES Red Team ב-ByteDance על הסיוע.
Web Extensions
אנחנו מבקשים להודות ל-Carlos Jeurissen ול-Rob Wu (robwu.nl) על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Vamshi Paili על הסיוע.
WebKit Process Model
אנחנו מבקשים להודות ל-Joseph Semaan על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Kun Peeks (@SwayZGl1tZyyy) ולחוקר אנונימי על הסיוע.
Wi-Fi Connectivity
אנחנו מבקשים להודות ל-Alex Radocea מ-Supernetworks, Inc על הסיוע.
Widgets
אנחנו מבקשים להודות ל-Marcel Voß, ל-Mitul Pranjay ול-Serok Çelik על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.