Informacije o sigurnosnom sadržaju sustava tvOS 26.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 26.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 26.4

802.1X

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot), TrendAI Zero Day Initiative

CoreUtils

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: postojao je problem u alatu curl koji je mogao dovesti do nenamjernog slanja osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

GeoServices

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: lokalni napadač mogao bi promijeniti stanje privjeska ključeva

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

CVE-2026-28860: Alex Radocea

UIFoundation

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-20665: webb

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonmjerno web-mjesto moglo je obraditi ograničeni web-sadržaj izvan memorije za testiranje

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28859: greenbynox, Arni Hardarson i anonimni istraživač

Dodatna zahvala

AirPort

Na pomoći zahvaljujemo Yasharu Shahinzadehu, Samanu Ebrahimnezhadu, Amiru Safariju, Omidu Rezaiju.

Bluetooth

Na pomoći zahvaljujemo Hamidu Mahmoudu.

Captive Network

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

CoreUI

Na pomoći zahvaljujemo Peteru Maloneu.

Find My

Na pomoći zahvaljujemo Salemdomainu.

GPU Drivers

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

ICU

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

Kernel

Na pomoći zahvaljujemo Adamu Doupéu (ASU SEFCOM, DARKNAVY (@DarkNavyOrg)), Kylianu Boulard De Pouquevilleu (Fuzzinglabs), Patricku Ventuzelu (Fuzzinglabs) te Robertu Tranu, Sureshu Sundaramu i Tristanu Madaniju (@TristanInSec) (Talence Security).

libarchive

Na pomoći zahvaljujemo Andreasu Jaegersbergeru i Rou Achterbergu (Nosebeard Labs) i Arniju Hardarsonu.

libc

Na pomoći zahvaljujemo Vitaliju Simonovichu (vitalysim.com).

Libnotify

Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).

LLVM

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Messages

Na pomoći zahvaljujemo JZ-u.

MobileInstallation

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

ppp

Na pomoći zahvaljujemo korisniku Dave G.

Quick Look

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRin) (wojciechregula.blog), anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo korisniku @RenwaX23, Farrasu Givariju, Syarifu Muhammadu Sajjadu i Yairu.

Shortcuts

Na pomoći zahvaljujemo Waleedu Barakatu (@WilDN00B) i Paul Montgomeryju (@nullevent).

Siri

Na pomoći zahvaljujemo Anandu Mallayi, tehničkom savjetniku (Anand Mallaya and Co.), Harshu Kirdoliji i Hrishikeshu Parmaru (samozaposlena osoba).

Spotlight

Na pomoći zahvaljujemo Bilgeu Kaanu Mızraku (Claude & Friends: Risk Analytics Research Group) i Zacku Tickmanu.

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

UIKit

Na pomoći zahvaljujemo AEC-u, Abhayu Kailasiji (@abhay_kailasia) (Safran Mumbai India), Alexu Thomasu, Bishalu Kafleu (@whoisbishal.k), Carlosu Luni (Američko ministarstvo pomorstva), Daliboru Milanoviću, Darenu Goodchildu, JS-u De Matteiju, Maxwellu Garnu, Zacku Tickmanu, korisniku fuyuu12 i korisniku incredincomp.

Wallet

Na pomoći zahvaljujemo korisniku Zhongcheng Li (IES Red Team, ByteDance).

Web Extensions

Na pomoći zahvaljujemo Carlosu Jeurissenu i Robu Wuu (robwu.nl).

WebKit

Na pomoći zahvaljujemo Vamshiju Pailiju.

WebKit Process Model

Na pomoći zahvaljujemo Josephu Semaanu.

Wi-Fi

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy), anonimnom istraživaču.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Alexu Radocei (Supernetworks, Inc).

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Mitulu Pranjayu i Seroku Çeliku.