A tvOS 18.6 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 18.6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 18.6
Kiadási dátum: 2025. július 29., kedd
afclip
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-43186: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CFNetwork
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A jogosultsággal nem rendelkező felhasználók módosítani tudták a korlátozott hálózati beállításokat.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2025-43223: Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs)
CoreAudio
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott hangfájl memóriasérülést tudott okozni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2025-43277: Google Threat Analysis Group
CoreMedia
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43210: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CoreMedia Playback
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2025-43230: Chi Yuan Chang (ZUSO ART) és taikosoup
ICU
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43209: Gary Kwong (a Trend Micro Zero Day Initiative közreműködőjeként)
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2025-43226
libxml2
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes fájlok feldolgozása memóriasérülést tudott okozni.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.
CVE-2025-7425: Sergei Glazunov (Google Project Zero)
libxslt
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2025-7424: Ivan Fratric (Google Project Zero)
Metal
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott textúrák feldolgozása váratlan alkalmazásleállást okozott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2025-43234: Vlad Stolyarov (Google Threat Analysis Group)
Model I/O
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott médiafájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy sérült a folyamatmemória.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2025-43224: Michael DePlante (@izobashi, a Trend Micro Zero Day Initiative közreműködőjeként)
CVE-2025-43221: Michael DePlante (@izobashi, a Trend Micro Zero Day Initiative közreműködőjeként)
Model I/O
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2025-31281: Michael DePlante (@izobashi, a Trend Micro Zero Day Initiative közreműködőjeként)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri a Trend Micro Zero Day Initiative közreműködőjeként, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) és Ziling Chen
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t, a DEVCORE Research Team tagja)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a Safari váratlanul összeomlott.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért lásd: cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne és Vlad Stolyarov (Google Threat Analysis Group)
További köszönetnyilvánítás
Bluetooth
Köszönjük LIdong LI, Xiao Wang, Shao Dong Chen és Chao Tan (Source Guard) segítségét.
CoreAudio
Köszönjük Noah Weinberg segítségét.
libxml2
Köszönjük Sergei Glazunov (Google Project Zero) segítségét.
libxslt
Köszönjük Ivan Fratric (Google Project Zero) segítségét.
WebKit
Köszönjük a Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu és Xiaojie Wei, rheza (@ginggilBesel) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.