Informazioni sui contenuti di sicurezza di tvOS 18.4

In questo documento vengono descritti i contenuti di sicurezza di tvOS 18.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

tvOS 18.4

AirDrop

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe leggere metadati di file arbitrari.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2025-24097: Ron Masas di BREAKPOINT.SH

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente non autenticato sulla stessa rete di un Mac con sessione attiva potrebbe inviargli comandi AirPlay senza abbinamento.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato in una posizione nella rete locale potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe corrompere la memoria dei processi.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe aggirare la politica di autenticazione.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintezionato sulla rete locale potrebbe causare una chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe ignorare ASLR.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2025-43205: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Audio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24244: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Audio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

Calendar

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2025-24163: Threat Analysis Group di Google

CoreAudio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: la riproduzione di un file audio dannoso può causare la chiusura improvvisa dell'app.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24230: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreGraphics

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31196: wac in collaborazione con Trend Micro Zero Day Initiative

CoreMedia

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: questo problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24211: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'app o corrompere la memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreMedia Playback

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) di Microsoft e un ricercatore anonimo

CoreText

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-24182: Hossein Lotfi (@hosselot) di Zero Day Initiative di Trend Micro

CoreUtils

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato collegato sulla rete locale potrebbe causare l'interruzione del servizio.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-9681

Foundation

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto ripulendo i log

CVE-2025-30447: LFY@secsys dell'Università Fudan

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'analisi di un'immagine potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema logico è stato risolto con una migliore gestione degli errori.

CVE-2025-24210: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe tentare di accedere ai codici su un dispositivo bloccato e causare l'escalation di ritardi temporali dopo 4 tentativi non andati a buon fine.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: è stato risolto un problema di convalida dell'input.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-48958

libnetcore

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24194: un ricercatore anonimo

libxml2

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'analisi di un file potrebbe causare la chiusura improvvisa dell'app.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-24178: un ricercatore anonimo

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe eliminare file per i quali non dispone di autorizzazione

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2025-31182: Alex Radocea e Dave G. di Supernetworks, 风沐云烟(@binary_fmyy) e Minghao Lin(@Y1nKoc)

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2025-24238: un ricercatore anonimo

NetworkExtension

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-30426: Jimmy

Power Services

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai di Alibaba Group, Luyi Xing dell'Indiana University Bloomington

Share Sheet

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe ignorare la notifica del sistema sulla schermata di blocco in cui è stata avviata una registrazione.

Descrizione: il problema è stato risolto attraverso una maggiore restrizione dell'accesso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Siri

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti.

Descrizione: un problema di privacy è stato risolto non registrando i contenuti nei campi di testo.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2025-24264: Gary Kwong e un ricercatore anonimo

CVE-2025-24216: Paul Bakker di ParagonERP

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-24209: Francisco Alonso (@revskills) e un ricercatore anonimo

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto di Safari.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un sito web dannoso può essere in grado di monitorare gli utenti nella modalità di navigazione privata di Safari.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2025-30425: un ricercatore anonimo

Altri riconoscimenti

Accounts

Ringraziamo Bohdan Stasiuk (@bohdan_stasiuk) per l'assistenza.

AirPlay

Ringraziamo Uri Katz (Oligo Security) per l'assistenza.

Apple Account

Ringraziamo Byron Fecho per l'assistenza.

Find My

Ringraziamo 神罚(@Pwnrin) per l'assistenza.

Foundation

Vorremmo ringraziare Jann Horn di Google Project Zero per l'assistenza.

Handoff

Ringraziamo Kirin e FlowerCode per l'assistenza.

HearingCore

Ringraziamo Kirin@Pwnrin e LFY@secsys dell'Università Fudan per l'assistenza.

ImageIO

Ringraziamo D4m0n per l'assistenza.

Photos

Ringraziamo Bistrit Dahal per l'assistenza.

Sandbox Profiles

Ringraziamo Benjamin Hornbeck per l'assistenza.

SceneKit

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

Security

Ringraziamo Kevin Jones (GitHub) per l'assistenza.

Siri

Ringraziamo Lyutoon per l'assistenza.

WebKit

Ringraziamo Gary Kwong, P1umer (@p1umer) e Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang e Daoyuan Wu di HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) di VXRL, Wong Wai Kin, Dongwei Xiao e Shuai Wang di HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) di VXRL., Xiangwei Zhang di Tencent Security YUNDING LAB, 냥냥 e un ricercatore anonimo per l'assistenza.