Informacije o sigurnosnom sadržaju sustava tvOS 26.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 26.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 26.3

Bluetooth

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač na povlaštenom mrežnom položaju mogao bi izvršiti napad uskraćivanja usluge upotrebom zlonamjernih Bluetooth paketa

Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.

CVE-2026-20650: jioundai

CoreAudio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20611: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit), Iru

dyld

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač koji ima mogućnost pisanja u memoriju mogao bi izvršiti proizvoljni kod. Apple je upoznat s izvješćem u kojem se navodi da je ovaj problem možda aktivno iskorišten u iznimno sofisticiranom napadu na određene pojedince na verzijama sustava iOS prije iOS 26. Kao odgovor na tu prijavu objavljeni su i CVE-2025-14174 te CVE-2025-43529.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-20649: Asaf Cohen

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-20675: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20634: George Karchemsky (@gkarchemsky) u suradnji s inicijativom Zero Day Initiative (Trend Micro)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-59375

Sandbox

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je poboljšanim provjerama.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20635: EntryHi

Dodatna zahvala

Bluetooth

Na pomoći zahvaljujemo Tommasu Sacchettiju.

Kernel

Na pomoći zahvaljujemo Josephu Ravichandranu (@0xjprx) (MIT CSAIL), Xinru Chiju (Pangu Lab).

libpthread

Na pomoći zahvaljujemo Fabianu Anemoneu.

NetworkExtension

Na pomoći zahvaljujemo Gongyuu Mau (@Mezone0).

Transparency

Zahvaljujemo na pomoći Wojciechu Regułi (@_rggi) (SecuRing) (wojciechregula.blog).

WebKit

Na pomoći zahvaljujemo sljedećim osobama: EntryHi, Luigino Camastra (Aisle Research), Stanislav Fort (Aisle Research), Vsevolod Kokorin (Slonser) (Solidlab) i Jorian Woltjer.