.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Informacije o sigurnosnom sadržaju sustava tvOS 26.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 26.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 26.5

Objavljeno 11. svibnja 2026.

Accelerate

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28959: Dave G.

App Intents

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) za Reverse Society

AppleJPEG

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2026-1837

AppleJPEG

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili oštećenje procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28956: impost0r (ret2plt)

Audio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zvučnog streama u zlonamjernoj medijskoj datoteci mogla je prekinuti izvršavanje procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-39869: David Ige (Beryllium Security)

CoreSymbolication

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-28918: Niels Hofmans, anonimni istraživač u suradnji s inicijativom Zero Day (TrendAI)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43661: anonimni istraživač

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2026-28977: Suresh Sundaram

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači su mogli izazvati neočekivano zatvaranje aplikacije

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43655: Somair Ansar i anonimni istraživač

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: prekoračenje međuspremnika riješeno je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2026-28972: Billy Jheng Bing Jhong i Pan Zhenpeng (@Peterpan0927), STAR Labs SG Pte. Ltd., Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) (Talence Security), Ryan Hileman koristeći Xint Code (xint.io)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem bilježenja je riješen poboljšanim redigiranjem podataka.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-43653: Atul R V

mDNSResponder

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač u lokalnoj mreži mogao je uzrokovati odbijanje usluge

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno formirane datoteke može oštetiti procesnu memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2026-28940: Michael DePlante (@izobashi), inicijativa Zero Day (TrendAI)

SceneKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano isključivanje aplikacije

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2026-28846: Peter Malone

Spotlight

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2026-28974: Andy Koo (@andykoo) (Hexens)

Storage

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2026-28996: Alex Radocea

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu i Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonimni istraživač u sudarnji s inicijativom Zero Day (TrendAI), Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac i Kookhwan Lee u suradnji s inicijativom Zero Day Initiative (TrendAI)

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) (Talence Security), Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: istraživački tim za AISLE Offensive Security (Joshua Rogers, Luigino Camastra, Igor Morgenstern i Guido Vranken), Maher Azzouzi, Ngan Nguyen (Calif.io)

WebKit Bugzilla: 311631

CVE-2026-28913: anonimni istraživač

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanom provjerom ulaznih podataka.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr i Nicholas Carlini (Claude, Anthropic)

Wi-Fi

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač na povlaštenom mrežnom položaju mogao bi izvršiti napad uskraćivanja usluge upotrebom zlonamjernih Wi-Fi paketa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2026-28994: Alex Radocea

zlib

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: curenje informacija riješeno je dodatnom provjerom valjanosti.

CVE-2026-28920: Brendon Tiszka (Google Project Zero)

Dodatna zahvala

App Intents

Na pomoći zahvaljujemo Mikaelu Kinnmanu.

Apple Account

Na pomoći zahvaljujemo Ivánu Savranskyju, korisniku YingQi Shi (@Mas0nShi) (laboratorij WeBin, DBAppSecurity).

AuthKit

Na pomoći zahvaljujemo korisniku Gongyu Ma (@Mezone0).

CoreUI

Na pomoći zahvaljujemo Mustafi Calapu.

ICU

Na pomoći zahvaljujemo anonimnom istraživaču.

Kernel

Na pomoći zahvaljujemo Ryanu Hilemanu koji je koristio Xint Code (xint.io), Sureshu Sundaramu i anonimnom istraživaču.

Libnotify

Na pomoći zahvaljujemo Iliasu Morada (@A2nkF_).

mDNSResponder

Na pomoći zahvaljujemo Jasonu Groveu.

Siri

Na pomoći zahvaljujemo Yoavu Magidu.

WebKit

Na pomoći zahvaljujemo Vitaliju Simonovichu.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 15. svibnja 2026.