A tvOS 18.3 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 18.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 18.3

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A helyi hálózatra bejutó támadó bizonyos esetekben kárt tudott tenni a folyamatmemóriában.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University

CoreAudio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

CoreMedia Playback

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI)

Display

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2025-24111: Wang Yu (Cyberserval)

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24107: anonim kutató

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-24159: pattern-f (@pattern_F_)

libxslt

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-55549: Ivan Fratric (Google Project Zero)

CVE-2025-24855: Ivan Fratric (Google Project Zero)

PackageKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24189: egy anonim kutató

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24158: Q1IQ (@q1iqF), NUS CuriOSity és P1umer (@p1umer), Imperial Global Singapore.

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab

További köszönetnyilvánítás

Audio

Köszönjük a Google Threat Analysis Group segítségét.

CoreAudio

Köszönjük a Google Threat Analysis Group segítségét.

iCloud

Köszönjük Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India), George Kovaios, Srijan Poudel segítségét.

Passwords

Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.

Static Linker

Köszönjük Holger Fuhrmannek segítségét.