Over de beveiligingsinhoud van tvOS 26.5

In dit document wordt de beveiligingsinhoud van tvOS 26.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 26.5

Accelerate

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28959: Dave G.

App Intents

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadaardige app kan buiten zijn sandbox komen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) voor Reverse Society

AppleJPEG

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2026-1837

AppleJPEG

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2026-28956: impost0r (ret2plt)

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan leiden tot het beëindigen van het proces

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-39869: David Ige van Beryllium Security

CoreSymbolication

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parsen van een kwaadwillige vervaardigd bestand kan leiden tot de onverwachte beëindiging van apps

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-28918: Niels Hofmans, anoniem in samenwerking met het Zero Day Initiative van TrendAI

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2026-43661: een anonieme onderzoeker

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-28977: Suresh Sundaram

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan de indeling van het kernelgeheugen bepalen

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43655: Somair Ansar en een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een bufferoverloop is verholpen door verbeterde invoervalidatie.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2026-28972: Billy Jheng Bing Jhong en Pan Zhenpeng (@Peterpan0927) van STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) van Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43653: Atul R V

mDNSResponder

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller op het lokale netwerk kan mogelijk een denial-of-service veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot beschadiging van het procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28940: Michael DePlante (@izobashi) van het Zero Day Initiative van TrendAI

SceneKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een externe aanvaller kan mogelijk het onverwacht beëindigen van een app veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2026-28846: Peter Malone

Spotlight

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2026-28974: Andy Koo (@andykoo) van Hexens

Storage

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2026-28996: Alex Radocea

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2026-43660: Cantina

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28907: Cantina

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-43658: Do Young Park

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu en Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anoniem in samenwerking met het Zero Day Initiative van TrendAI, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac en Kookhwan Lee in samenwerking met het Zero Day Initiative van TrendAI

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) van Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern en Guido Vranken), Maher Azzouzi, Ngan Nguyen van Calif.io

CVE-2026-28913: een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.

CVE-2026-28917: Vitaly Simonovich

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr en Nicholas Carlini met Claude, Anthropic

Wi-Fi

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial-of-service-aanval opzetten met behulp van kwaadwillig vervaardigde wifipakketten

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-28994: Alex Radocea

zlib

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28920: Brendon Tiszka van Google Project Zero

Aanvullende erkenning

App Intents

Met dank aan Mikael Kinnman voor de hulp.

Apple Account

Met dank aan Iván Savransky, YingQi Shi (@Mas0nShi) van DBAppSecurity's WeBin lab voor de hulp.

AuthKit

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

CoreUI

Met dank aan Mustafa Calap ​voor de hulp.

ICU

Met dank aan een anonieme onderzoeker voor de hulp.

Kernel

Met dank aan Ryan Hileman via Xint Code (xint.io), Suresh Sundaram, een anonieme onderzoeker voor de hulp.

Libnotify

Met dank aan Ilias Morad (@A2nkF_) voor de hulp.

mDNSResponder

Met dank aan Jason Grove voor de hulp.

Siri

Met dank aan Yoav Magid voor de hulp.

WebKit

Met dank aan Vitaly Simonovich voor de hulp.