Over de beveiligingsinhoud van tvOS 26

In dit document wordt de beveiligingsinhoud van tvOS 26 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 26

Apple Neural Engine

Beschikbaar voor: Apple TV 4K (2e generatie en later)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43344: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43346: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Bluetooth

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2025-43354: Csaba Fitzl (@theevilbit) van Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) van Kandji

CoreAudio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van de app

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2025-43349: @zlluny in samenwerking met Trend Micro Zero Day Initiative

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2025-43372: 이동하 (Lee Dong Ha) van SSA Lab

IOHIDFamily

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43302: Keisuke Hosoda

IOKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-31255: Csaba Fitzl (@theevilbit) van Kandji

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Gevolgen: Een UDP-serversocket die aan een lokale interface is gekoppeld, kan aan alle interfaces worden gebonden

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43355: Dawuge van Shuffle Team

Sandbox

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43329: een anonieme onderzoeker

SQLite

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-6965

System

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een website heeft mogelijk toegang tot sensorinformatie zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43343: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

CVE-2025-43342: een anonieme onderzoeker

Aanvullende erkenning

Accounts

Met dank aan 要乐奈 voor de hulp.

AuthKit

Wij willen Rosyna Keller van Totally Not Malicious Software voor hun hulp erkennen.

CFNetwork

Met dank aan Christian Kohlschütter voor de hulp.

CloudKit

We willen Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc bedanken voor hun hulp.

CoreMedia

Met dank aan Noah Gregory (wts.dev) en voor de hulp.

darwinOS

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

Foundation

Met dank aan Csaba Fitzl (@theevilbit) van Kandji voor de hulp.

ImageIO

We willen DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat bedanken voor hun hulp.

Kernel

We willen graag Yepeng Pan, Prof. dr. Christian Rossow bedanken voor hun hulp.

libc

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libpthread

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

libxml2

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

mDNSResponder

Met dank aan Barrett Lyon voor de hulp.

MediaRemote

Met dank aan Dora Orak voor de hulp.

Sandbox Profiles

Wij willen Rosyna Keller van Totally Not Malicious Software voor hun hulp erkennen.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) voor de hulp.

WebKit

We willen Bob Lord, Matthew Liang, Mike Cardwell van grepular.com bedanken voor hun hulp.

Wi-Fi

We willen Aobo Wang (@m4x_1997), Csaba Fitzl (@theevilbit) van Kandji, Noah Gregory (wts.dev), Wojciech Regula of Securing (wojciechregula.blog), een anonieme onderzoeker, bedanken voor hun hulp.