A tvOS 26.4 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 26.4

802.1X

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben a folyamat leállását okozta

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, TrendAI Zero Day Initiative)

CoreUtils

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A curl egy hibája miatt előfordult, hogy véletlenül nem a megfelelő kapcsolaton kerültek elküldésre a bizalmas adatok

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

GeoServices

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A helyi támadók módosítani tudták a Kulcskarika állapotát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel orvosoltuk a problémát.

CVE-2026-28860: Alex Radocea

UIFoundation

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulató webhelyek bizonyos esetekben korlátozott webes tartalmakat dolgoztak fel a sandboxon kívül

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson és egy anonim kutató

További köszönetnyilvánítás

AirPort

Köszönjük Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari és Omid Rezaii segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

CoreUI

Köszönjük Peter Malone segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük Adam Doupé (ASU SEFCOM, DARKNAVY, @DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec, Talence Security).

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), valamint Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich (vitalysim.com) segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog) és egy anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Farras Givari, Syarif Muhammad Sajjad és Yair segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya (technológiai tanácsadó), Anand Mallaya and Co., Harsh Kirdolia és Hrishikesh Parmar (egyéni vállalkozó) segítségét.

Spotlight

Köszönjük Bilge Kaan Mızrak, Claude & Friends (Risk Analytics Research Group) és Zack Tickman segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 és incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen és Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

WebKit Process Model

Köszönjük Joseph Semaan segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy) és egy anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay és Serok Çelik segítségét.