Over de beveiligingsinhoud van tvOS 18.4

In dit document wordt de beveiligingsinhoud van tvOS 18.4 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 18.4

AirDrop

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk willekeurige bestandsmetadata lezen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2025-24097: Ron Masas van BREAKPOINT.SH

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24244: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24243: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

Calendar

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het afspelen van een kwaadaardig audiobestand kan mogelijk leiden tot het onverwacht beëindigen van apps

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24230: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24211: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24190: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreMedia Playback

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) van Microsoft en een anonieme onderzoeker

CoreText

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2025-24182: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

curl

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over het probleem en de CVE-ID naar cve.org.

CVE-2024-9681

Foundation

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door de logboekregistratie op te schonen

CVE-2025-30447: LFY@secsys van Fudan University

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parseren van een afbeelding kan mogelijk leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een logicaprobleem is verholpen door een verbeterde behandeling van fouten.

CVE-2025-24210: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadaardige app kan mogelijk pogingen doen om de toegangscode in te voeren op een vergrendeld apparaat, waardoor een steeds langere tijdvertraging wordt veroorzaakt na 4 mislukte pogingen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een probleem met invoervalidatie is verholpen

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over het probleem en de CVE-ID naar cve.org.

CVE-2024-48958

libnetcore

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-24194: een anonieme onderzoeker

libxml2

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over het probleem en de CVE-ID naar cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-24178: een anonieme onderzoeker

libxpc

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk bestanden verwijderen waarvoor deze geen bevoegdheid heeft

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2025-31182: Alex Radocea en Dave G. van Supernetworks, 风沐云烟 (@binary_fmyy) en Minghao Lin (@Y1nKoc)

libxpc

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2025-24238: een anonieme onderzoeker

NetworkExtension

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-30426: Jimmy

Power Services

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door extra controles van de bevoegdheden.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2025-30471: Bing Shi, Wenchao Li en Xiaolong Bai van Alibaba Group, Luyi Xing van Indiana University Bloomington

Share Sheet

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadaardige app kan mogelijk de systeemmelding op het toegangsscherm sluiten waarin wordt gemeld dat een opname is gestart

Beschrijving: dit probleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Siri

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde beperking van gegevenscontainertoegang.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door inhoud van tekstvelden niet vast te leggen.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2025-24264: Gary Kwong en een anonieme onderzoeker

CVE-2025-24216: Paul Bakker van ParagonERP

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een type confusion-probleem kan mogelijk leiden tot het beschadigen van het geheugen

Beschrijving: dit probleem is verholpen door verbeterde verwerking van floats.

CVE-2025-24213: Google V8 Security Team

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2025-24209: Francisco Alonso (@revskills) en een anonieme onderzoeker

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2025-30425: een anonieme onderzoeker

Aanvullende erkenning

Accounts

Met dank aan Bohdan Stasiuk (@bohdan_stasiuk) voor de hulp.

Apple Account

Met dank aan Byron Fecho voor de hulp.

Audio

Met dank aan Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative voor de hulp.

Find My

Met dank aan 神罚(@Pwnrin) voor de hulp.

Foundation

Met dank aan Jann Horn van Google Project Zero voor zijn hulp.

Handoff

Met dank aan Kirin en FlowerCode voor de hulp.

HearingCore

Met dank aan Kirin@Pwnrin en LFY@secsys van Fudan University voor de hulp.

ImageIO

Met dank aan D4m0n voor de hulp.

Photos

Met dank aan Bistrit Dahal voor de hulp.

Sandbox Profiles

Met dank aan Benjamin Hornbeck voor de hulp.

SceneKit

Met dank aan Marc Schoenefeld, Dr. rer. nat. voor de hulp.

Security

Met dank aan Kevin Jones (GitHub) voor de hulp.

Siri

Met dank aan Lyutoon voor de hulp.

WebKit

Met dank aan Gary Kwong, P1umer (@p1umer) en Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang en Daoyuan Wu van HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) van VXRL, Wong Wai Kin, Dongwei Xiao en Shuai Wang van HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) van VXRL., Xiangwei Zhang van Tencent Security YUNDING LAB, 냥냥, en een anonieme onderzoeker voor de hulp.