A tvOS 26.4 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 26.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 26.4

802.1X

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben hozzá tudtak férni a hálózati forgalomhoz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2026-28865: Héloïse Gollier és Mathy Vanhoef (KU Leuven)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2026-28879: Justin Cohen (Google)

Audio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2026-28822: Jex Amro

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú célból létrehozott médiafájlok esetében az audiostreamek feldolgozása bizonyos esetekben leállíthatják a folyamatot

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2026-20690: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CoreUtils

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2026-28886: Etienne Charron (Renault) és Victoria Martini (Renault)

Crash Reporter

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját

Leírás: A bizalmas adatok eltávolításával megoldottuk az adatvédelmi problémát.

CVE-2026-28878: Zhongcheng Li (IES Red Team)

curl

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Hiba állt fenn a curl esetén, amely azt eredményezte, hogy helytelen kapcsolaton keresztül, véletlenül küldtek el bizalmas információkat

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-14524

GeoServices

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ellenőrzés kibővítésével megoldottuk az információszivárgási problémát.

CVE-2026-28870: XiguaSec

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2025-64505

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb hitelesítéssel hárítottuk el a problémát.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások bizonyos esetekben számba tudták venni a felhasználó telepített alkalmazásainak a listáját

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2026-28882: Ilias Morad (A2nkF, Voynich Group), Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó ujjlenyomatát

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy veremtúlcsordulást okozó problémát.

CVE-2026-28852: Caspian Tarafdar

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2026-20665: webb

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordulhat, hogy egy ártó szándékkal készített webhely fel tudja dolgozni a tesztkörnyezeten kívüli korlátozott webes tartalmat

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2026-28859: greenbynox, Arni Hardarson

További köszönetnyilvánítás

AirPort

Köszönjük Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii segítségét.

Bluetooth

Köszönjük Hamid Mahmoud segítségét.

Captive Network

Köszönjük Kun Peeks (@SwayZGl1tZyyy) segítségét.

CoreUI

Köszönjük Peter Malone segítségét.

Find My

Köszönjük Salemdomain segítségét.

GPU Drivers

Köszönjük Jian Lee (@speedyfriend433) segítségét.

ICU

Köszönjük Jian Lee (@speedyfriend433) segítségét.

Kernel

Köszönjük DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville (Fuzzinglabs), Patrick Ventuzelo (Fuzzinglabs), Robert Tran, Suresh Sundaram segítségét.

libarchive

Köszönjük Andreas Jaegersberger és Ro Achterberg (Nosebeard Labs), Arni Hardarson segítségét.

libc

Köszönjük Vitaly Simonovich segítségét.

Libnotify

Köszönjük Ilias Morad (@A2nkF_) segítségét.

LLVM

Köszönjük Nathaniel Oh (@calysteon) segítségét.

Messages

Köszönjük JZ segítségét.

MobileInstallation

Köszönjük Gongyu Ma (@Mezone0) segítségét.

ppp

Szeretnénk megköszönni Dave G. segítségét.

Quick Look

Köszönjük Wojciech Regula (SecuRing, wojciechregula.blog), anonim kutató segítségét.

Safari

Köszönjük @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair segítségét.

Shortcuts

Köszönjük Waleed Barakat (@WilDN00B) és Paul Montgomery (@nullevent) segítségét.

Siri

Köszönjük Anand Mallaya (műszaki tanácsadó, Anand Mallaya and Co.), Harsh Kirdolia, Hrishikesh Parmar (szabadúszó) segítségét.

Spotlight

Köszönjük Bilge Kaan Mızrak (Claude & Friends: Risk Analytics Research Group), Zack Tickman segítségét.

Time Zone

Köszönjük Abhay Kailasia (@abhay_kailasia, Safran Mumbai India) segítségét.

UIKit

Köszönjük AEC, Abhay Kailasia (@abhay_kailasia, Safran Mumbai India), Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp segítségét.

Wallet

Köszönjük Zhongcheng Li (IES Red Team, ByteDance) segítségét.

Web Extensions

Köszönjük Carlos Jeurissen, Rob Wu (robwu.nl) segítségét.

WebKit

Köszönjük Vamshi Paili segítségét.

WebKit Process Model

Köszönjük Joseph Semaan segítségét.

Wi-Fi

Köszönjük Kun Peeks (@SwayZGl1tZyyy), anonim kutató segítségét.

Wi-Fi Connectivity

Köszönjük Alex Radocea (Supernetworks, Inc) segítségét.

Widgets

Köszönjük Marcel Voß, Mitul Pranjay, Serok Çelik segítségét.