Informazioni sui contenuti di sicurezza di tvOS 26.4

In questo documento vengono descritti i contenuti di sicurezza di tvOS 26.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

tvOS 26.4

802.1X

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Audio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28879: Justin Cohen di Google

Audio

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-28822: Jex Amro

CoreMedia

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l’elaborazione di uno stream audio in un file multimediale dannoso potrebbe causare l’interruzione del processo.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2026-20690: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CoreUtils

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente in una posizione privilegiata nella rete potrebbe causare l'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: un problema di privacy è stato risolto rimuovendo i dati sensibili.

CVE-2026-28878: Zhongcheng Li di IES Red Team

curl

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: esisteva un problema in curl che poteva comportare l’invio involontario di informazioni sensibili tramite una connessione errata.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-14524

GeoServices

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: una perdita di informazioni è stata risolta attraverso una convalida aggiuntiva.

CVE-2026-28870: XiguaSec

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2025-64505

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: questo problema è stato risolto attraverso una migliore autenticazione.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di enumerare le app installate dall'utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2026-28882: Ilias Morad (A2nkF) di Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2026-20665: webb

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un sito web dannoso può essere in grado di elaborare contenuti web con restrizioni al di fuori della sandbox.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2026-28859: greenbynox, Arni Hardarson

Altri riconoscimenti

AirPort

Ringraziamo Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii per l’assistenza.

Bluetooth

Ringraziamo Hamid Mahmoud per l’assistenza.

Captive Network

Ringraziamo Kun Peeks (@SwayZGl1tZyyy) per l'assistenza.

CoreUI

Ringraziamo Peter Malone per l’assistenza.

Find My

Ringraziamo Salemdomain per l’assistenza.

GPU Drivers

Ringraziamo Jian Lee (@speedyfriend433) per l’assistenza.

ICU

Ringraziamo Jian Lee (@speedyfriend433) per l’assistenza.

Kernel

Ringraziamo DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville di Fuzzinglabs, Patrick Ventuzelo di Fuzzinglabs, Robert Tran, Suresh Sundaram per l’assistenza.

libarchive

Ringraziamo Andreas Jaegersberger & Ro Achterberg di Nosebeard Labs, Arni Hardarson per l’assistenza.

libc

Ringraziamo Vitaly Simonovich per l’assistenza.

Libnotify

Ringraziamo Ilias Morad (@A2nkF_) per l’assistenza.

LLVM

Ringraziamo Nathaniel Oh (@calysteon) per l'assistenza.

Messages

Ringraziamo JZ per l’assistenza.

MobileInstallation

Ringraziamo Gongyu Ma (@Mezone0) per l'assistenza.

ppp

Ringraziamo Dave G. per l'assistenza.

Quick Look

Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo per l’assistenza.

Safari

Ringraziamo @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair per l’assistenza.

Shortcuts

Ringraziamo Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) per l’assistenza.

Siri

Ringraziamo Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar di Self-Employed per l’assistenza.

Spotlight

Ringraziamo Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman per l’assistenza.

Time Zone

Ringraziamo Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India per l'assistenza.

UIKit

Ringraziamo AEC, Abhay Kailasia (@abhay_kailasia) di Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp per l’assistenza.

Wallet

Ringraziamo Zhongcheng Li di IES Red Team di ByteDance per l'assistenza.

Web Extensions

Ringraziamo Carlos Jeurissen, Rob Wu (robwu.nl) per l’assistenza.

WebKit

Ringraziamo Vamshi Paili per l’assistenza.

WebKit Process Model

Ringraziamo Joseph Semaan per l’assistenza.

Wi-Fi

Ringraziamo Kun Peeks (@SwayZGl1tZyyy), un ricercatore anonimo per l’assistenza.

Wi-Fi Connectivity

Ringraziamo Alex Radocea of Supernetworks, Inc. per l’assistenza.

Widgets

Ringraziamo Marcel Voß, Mitul Pranjay, Serok Çelik per l’assistenza.