Informacije o sigurnosnom sadržaju sustava tvOS 18.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 18.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 18.4

AirDrop

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla čitati proizvoljne metapodatke datoteka

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24097: Ron Masas: BREAKPOINT.SH

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni korisnik neprovjerene autentičnosti u istoj mreži kao prijavljeno Mac računalo mogao je slati AirPlay naredbe bez uparivanja

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači u lokalnoj mreži mogli su otkriti povjerljive korisničke podatke

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je oštetiti procesnu memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je zaobići pravila o provjeri autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati neočekivan prekid rada aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla zaobići ASLR

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-43205: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24244: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24243: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Calendar

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreAudio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24230: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreGraphics

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31196: wac i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24211: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili oštećenja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24190: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreMedia Playback

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) (Microsoft) i anonimni istraživač

CoreText

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-24182: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreUtils

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-9681

Foundation

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen čišćenjem zapisnika

CVE-2025-30447: LFY@secsys (Sveučilište Fudan)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: parsiranjem slike može doći do otkrivanja korisničkih podataka

Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.

CVE-2025-24210: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna bi aplikacija mogla pokušati unositi šifru ili zaključati uređaj i tako uzrokovati vremenske odgode nakon 4 neuspjela pokušaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: riješen je problem s provjerom valjanosti unosa

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-48958

libnetcore

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-24194: anonimni istraživač

libxml2

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24178: anonimni istraživač

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2025-31182: Alex Radocea i Dave G. (Supernetworks, 风沐云烟(@binary_fmyy)) i Minghao Lin(@Y1nKoc)

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2025-24238: anonimni istraživač

NetworkExtension

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-30426: Jimmy

Power Services

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi odbaciti obavijesti sustava na zaključanom zaslonu na kojem je pokrenuto snimanje

Opis: ovaj je problem riješen poboljšanim ograničenjima pristupa.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Siri

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen boljim ograničavanje pristupa spremištu podataka.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnošću riješen je nezapisivanjem sadržaja tekstualnih polja.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24264: Gary Kwong i anonimni istraživač

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24209: Francisco Alonso (@revskills) i anonimni istraživač

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna internetska stranca može pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-30425: anonimni istraživač

Dodatna zahvala

Accounts

Zahvaljujemo Bohdanu Stasiuku (@bohdan_stasiuk) i ) na pomoći.

AirPlay

Na pomoći zahvaljujemo korisnicima Uriju Katzu (Oligo Security)

Apple Account

Na pomoći zahvaljujemo Byronu Fechou.

Find My

Na pomoći zahvaljujemo korisniku 神罚(@Pwnrin).

Foundation

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Handoff

Na pomoći zahvaljujemo korisniku Kirin i FlowerCode.

HearingCore

Na pomoći zahvaljujemo korisnicima Kirin@Pwnrin i LFY@secsys sa Sveučilišta Fudan.

ImageIO

Na pomoći zahvaljujemo korisniku D4m0n.

Photos

Na pomoći zahvaljujemo Bistritu Dahalu.

Sandbox Profiles

Na pomoći zahvaljujemo Benjaminu Hornbecku.

SceneKit

Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.

Security

Na pomoći zahvaljujemo Kevinu Jonesu (GitHub).

Siri

Na pomoći zahvaljujemo korisniku Lyutoon.

WebKit

Na pomoći zahvaljujemo korisnicima: Gary Kwong, P1umer (@p1umer) i Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang i Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014) (VXRL), Wong Wai Kin, Dongwei Xiao i Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014) (VXRL.), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥, i anonimnom istraživaču.