tvOS 18.6のセキュリティコンテンツについて

tvOS 18.6のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

tvOS 18.6

2025年7月29日リリース

afclip

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43186:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)

CFNetwork

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:特権を持たないユーザが、制限されたネットワーク設定を変更できる可能性がある。

説明:入力検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2025-43223:Nosebeard LabsのAndreas Jaegersberger氏およびRo Achterberg氏

CoreAudio

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたオーディオファイルを処理すると、メモリが破損する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2025-43277:GoogleのThreat Analysis Group

CoreMedia

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。

説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2025-43210:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)

CoreMedia Playback

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:アプリが機微なユーザデータにアクセスできる可能性がある。

説明:アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2025-43230:ZUSO ARTおよびtaikosoupのChi Yuan Chang氏

ICU

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2025-43209:Trend Micro Zero Day Initiativeに協力するGary Kwong氏

ImageIO

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

CVE-2025-43226

libxml2

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:ファイルを処理すると、メモリが破損する可能性がある。

説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2025-7425:Google Project ZeroのSergei Glazunov氏

libxslt

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

CVE-2025-7424:Google Project ZeroのIvan Fratric氏

Metal

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたテクスチャを処理すると、アプリが予期せず終了する可能性がある。

説明:入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2025-43234:GoogleのThreat Analysis GroupのVlad Stolyarov氏

Model I/O

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたメディアファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが破損したりする可能性がある。

説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2025-43224:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)

CVE-2025-43221:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)

Model I/O

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明:メモリ処理を改善し、入力検証の脆弱性に対処しました。

CVE-2025-31281:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。

説明:ステート管理を改善し、この問題に対処しました。

WebKit Bugzilla:292888

CVE-2025-43227:Gilad Moav氏

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:291742

CVE-2025-31278:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏

WebKit Bugzilla:291745

CVE-2025-31277:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏

WebKit Bugzilla:293579

CVE-2025-31273:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:292599

CVE-2025-43214:Trend Micro Zero Day Initiativeに協力するshandikri氏、Google V8 Security Team

WebKit Bugzilla:292621

CVE-2025-43213:Google V8 Security Team

WebKit Bugzilla:293197

CVE-2025-43212:Nan Wang氏(@eternalsakura13)およびZiling Chen氏

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

WebKit Bugzilla:293730

CVE-2025-43211:Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、アプリの内部の状態情報が漏洩する可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

WebKit Bugzilla:294182

CVE-2025-43265:DEVCORE Research TeamのHexRabbit氏(@h3xr4bb1t)

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。

WebKit Bugzilla:295382

CVE-2025-43216:Ignacio Sanmillan氏(@ulexec)

WebKit

対象:Apple TV HDおよびApple TV 4K(すべてのモデル)

影響:悪意を持って作成されたWebコンテンツを処理すると、Safariが予期せずクラッシュする可能性がある。

説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。

WebKit Bugzilla:296459

CVE-2025-6558:GoogleのThreat Analysis GroupのClément Lecigne氏およびVlad Stolyarov氏

ご協力いただいたその他の方々

Bluetooth

Source GuardのLIdong LI氏、Xiao Wang氏、Shao Dong Chen氏、およびChao Tan氏のご協力に感謝いたします。

CoreAudio

Noah Weinberg氏のご協力に感謝いたします。

libxml2

Google Project ZeroのSergei Glazunov氏のご協力に感謝いたします。

libxslt

Google Project ZeroのIvan Fratric氏のご協力に感謝いたします。

WebKit

Google V8 Security Team、Yuhao Hu氏、Yan Kang氏、Chenggang Wu氏、Xiaojie Wei氏、rheza氏(@ginggilBesel)のご協力に感謝いたします。