Informacije o sigurnosnom sadržaju sustava tvOS 26.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 26.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 26.4

802.1X

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28879: Justin Cohen (Google)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada audiostreama u zlonamjerno izrađenoj medijskoj datoteci može prekinuti postupak

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-20690: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CoreUtils

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem sa zaštitom privatnosti riješen je uklanjanjem osjetljivih podataka.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: postojao je problem u alatu curl koji može rezultirati nenamjernim slanjem osjetljivih podataka putem pogrešne veze

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-14524

GeoServices

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28870: XiguaSec

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2025-64505

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: ovaj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogla popisati i označiti brojevima aplikacije koje je korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2026-28882: Ilias Morad (A2nkF) (Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2026-20665: webb

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerno web-mjesto moglo bi obraditi zabranjeni web-sadržaj izvan sigurnosne ograde

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28859: greenbynox, Arni Hardarson

Dodatna zahvala

AirPort

Na pomoći zahvaljujemo Yasharu Shahinzadehu, Samanu Ebrahimnezhadu, Amiru Safariju i Omidu Rezaiiju.

Bluetooth

Na pomoći zahvaljujemo Hamidu Mahmoudu.

Captive Network

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy).

CoreUI

Na pomoći zahvaljujemo Peteru Maloneu.

Find My

Na pomoći zahvaljujemo Salemdomainu.

GPU Drivers

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

ICU

Na pomoći zahvaljujemo Jianu Leeju (@speedyfriend433).

Kernel

Na pomoći zahvaljujemo DARKNAVY (@DarkNavyOrg), Kylianu Boulardu De Pouquevilleu (Fuzzinglabs), Patricku Ventuzelu (Fuzzinglabs), Robertu Tranu i Sureshu Sundaramu.

libarchive

Na pomoći zahvaljujemo Andreasu Jaegersbergeru i Rou Achterbergu (Nosebeard Labs) te Arniju Hardarsonu.

libc

Na pomoći zahvaljujemo Vitalyju Simonovichu.

Libnotify

Na pomoći zahvaljujemo Iliasu Moradu (@A2nkF_).

LLVM

Na pomoći zahvaljujemo Nathanielu Ohu (@calysteon).

Messages

Na pomoći zahvaljujemo korisniku JZ.

MobileInstallation

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

ppp

Na pomoći zahvaljujemo korisniku Dave G.

Quick Look

Na pomoći zahvaljujemo Wojciechu Reguli (SecuRing, wojciechregula.blog), anonimnom istraživaču.

Safari

Na pomoći zahvaljujemo korisnicima @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Na pomoći zahvaljujemo Waleedu Barakatu (@WilDN00B) i Paulu Montgomeryju (@nullevent).

Siri

Na pomoći zahvaljujemo Anandu Mallayi, tehničkom savjetniku iz tvrtke Anand Mallaya and Co., Harshu Kirdoliji te Hrishikeshu Parmaru (Self-Employed).

Spotlight

Na pomoći zahvaljujemo Bilgeu Kaanu Mızraku (Claude & Friends: Risk Analytics Research Group) te Zacku Tickmanu.

Time Zone

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Safran Mumbai India).

UIKit

Na pomoći zahvaljujemo AEC-u, Abhayu Kailasiji (@abhay_kailasia) iz tvrtke Safran Mumbai India, Bishalu Kafleu (@whoisbishal.k), Carlosu Luni (Ministarstvo mornarice SAD-a), Daliboru Milanoviću, Darenu Goodchildu, JS-u De Mattei, Maxwellu Garnu, Zacku Tickmanu, fuyuu12 i incredincompu.

Wallet

Na pomoći zahvaljujemo korisniku Zhongcheng Li (IES Red Team, ByteDance).

Web Extensions

Na pomoći zahvaljujemo Carlosu Jeurissenu i Robu Wuu (robwu.nl).

WebKit

Na pomoći zahvaljujemo Vamshiju Pailiju.

WebKit Process Model

Na pomoći zahvaljujemo Josephu Semaanu.

Wi-Fi

Na pomoći zahvaljujemo Kunu Peeksu (@SwayZGl1tZyyy), anonimnom istraživaču.

Wi-Fi Connectivity

Na pomoći zahvaljujemo Alexu Radocei (Supernetworks, Inc).

Widgets

Na pomoći zahvaljujemo Marcelu Voßu, Mitulu Pranjayu i Seroku Çeliku.