A tvOS 18.4 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 18.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 18.4

AirDrop

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak tetszőleges fájlmetaadatokat beolvasni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24097: Ron Masas (BREAKPOINT.SH

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy olyan hálózaton, amelyre egy bejelentkezett Mac is csatlakozik, nem hitelesített felhasználók párosítás nélkül küldhettek AirPlay-parancsokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók ki tudtak szivárogtatni bizalmas jellegű információkat a helyi hálózaton.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók folyamatmemória-sérülést tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók megkerülhették a hitelesítési szabályzatokat a helyi hálózaton.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Támadók váratlan appleállást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások meg tudták kerülni az ASLR-t

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2025-43205: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24244: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24243: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Calendar

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy egy ártó szándékkal készített hangfájl lejátszásakor váratlan alkalmazásleállásra került sor

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24230: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreGraphics

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-31196: wac a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24211: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24190: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreMedia Playback

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo, Microsoft) és egy anonim kutató

CoreText

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2025-24182: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-9681

Foundation

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A naplózás megtisztításával orvosoltuk a problémát

CVE-2025-30447: LFY@secsys (Fudan University)

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A képek elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2025-24210: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak megkísérelni a jelkódos hozzáférést egy zárolt eszközhöz, amellyel egyre fokozódó időbeli késleltetést okoztak 4 meghiúsult kísérlet után

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2025-30432: Michael (Biscuit) Thomas – @biscuit@social.lol

libarchive

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Elhárítottunk egy bemenet-ellenőrzési hibát

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-48958

libnetcore

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24194: anonim kutató

libxml2

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-27113

CVE-2024-56171

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24178: anonim kutató

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2025-31182: Alex Radocea és Dave G. (Supernetworks), 风沐云烟 (@binary_fmyy) és Minghao Lin (@Y1nKoc)

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2025-24238: anonim kutató

NetworkExtension

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-30426: Jimmy

Power Services

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-30471: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Share Sheet

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy ártó szándékkal készített alkalmazások képesek voltak bezárni a zárolt képernyőn megjelenő, folyamatban lévő felvételkészítésre figyelmeztető rendszerértesítést

Leírás: Hatékonyabb hozzáférési korlátozásokkal hárítottuk el a problémát.

CVE-2025-30438: Halle Winkler, Politepix (theoffcuts.org

Siri

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adattárolókhoz való hozzáférés hatékonyabb korlátozásával orvosoltuk a problémát.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek lehettek bizalmas felhasználói adatokhoz való hozzáférésre.

Leírás: Az adatvédelmi problémát úgy küszöböltük ki, hogy a továbbiakban nem naplózzuk a szöveges mezők tartalmát.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24264: Gary Kwong és egy anonim kutató

CVE-2025-24216: Paul Bakker (ParagonERP)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2025-24209: Francisco Alonso (@revskills) és egy anonim kutató

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-30425: anonim kutató

További köszönetnyilvánítás

Accounts

Köszönjük Bohdan Stasiuk (@bohdan_stasiuk) segítségét.

AirPlay

Köszönjük Uri Katz (Oligo Security) segítségét.

Apple Account

Köszönjük Byron Fecho segítségét.

Find My

Köszönjük 神罚 (@Pwnrin) segítségét.

Foundation

Köszönjük Jann Horn (Google Project Zero) segítségét.

Handoff

Köszönjük Kirin és FlowerCode segítségét.

HearingCore

Köszönjük Kirin@Pwnrin és LFY@secsys (Fudan University) segítségét.

ImageIO

Köszönjük D4m0n segítségét.

Photos

Köszönjük Bistrit Dahal segítségét.

Sandbox Profiles

Köszönjük Benjamin Hornbeck segítségét.

SceneKit

Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét.

Security

Köszönjük Kevin Jones (GitHub) segítségét.

Siri

Köszönjük Lyutoon segítségét.

WebKit

Köszönjük Gary Kwong, P1umer (@p1umer) és Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang és Daoyuan Wu (HKUST Cybersecurity Lab), Anthony Lai(@darkfloyd1014, VXRL), Wong Wai Kin, Dongwei Xiao és Shuai Wang (HKUST Cybersecurity Lab), Anthony Lai (@darkfloyd1014, VXRL), Xiangwei Zhang (Tencent Security YUNDING LAB), 냥냥 és egy anonim kutató segítségét.