Over de beveiligingsinhoud van tvOS 26.1

In dit document wordt de beveiligingsinhoud van tvOS 26.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 26.1

Apple Neural Engine

Beschikbaar voor: Apple TV 4K (2e generatie en later)

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43462: een anonieme onderzoeker

AppleMobileFileIntegrity

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2025-43407: JZ

CloudKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43436: Zhongcheng Li van IES Red Team van ByteDance

CoreText

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-43445: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

FontParser

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd lettertype kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2025-43400: Apple

Installer

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-43444: Zhongcheng Li van IES Red Team van ByteDance

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app in een sandbox kan mogelijk systeembrede netwerkverbindingen observeren

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2025-43413: Dave G. and Alex Radocea van supernetworks.org

MallocStackLogging

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: er was een probleem bij de verwerking van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2025-43386: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een schadelijke website kan gegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-43480: Aleksejs Popovs

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-43443: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen van Google

CVE-2025-43425: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: dit probleem is verholpen door verbeterde controles

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-43432: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een website kan afbeeldingsgegevens 'cross-origin' exfiltreren

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2025-43392: Tom Van Goethem

Aanvullende erkenning

MobileInstallation

Met dank aan Bubble Zhang voor de hulp.

WebKit

Met dank aan Enis Maholli (enismaholli.com), Google Big Sleep voor de hulp.