Over de beveiligingsinhoud van tvOS 18.5
In dit document wordt de beveiligingsinhoud van tvOS 18.5 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 18.5
Releasedatum: 12 mei 2025
AppleJPEG
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.
CVE-2025-31251: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
Core Bluetooth
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2025-31212: Guilherme Rambo van Best Buddy Apps (rambo.codes)
CoreAudio
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-31208: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
CoreGraphics
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2025-31209: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
CoreMedia
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2025-31239: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
CoreMedia
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd videobestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.
CVE-2025-31233: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2025-31226: Saagar Jha
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller op afstand kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24224: Tony Iskow (@Tybbow)
Toegevoegd op 29 juli 2025
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-31219: Michael DePlante (@izobashi) en Lucas Leong (@_wmliang_) van Trend Micro Zero Day Initiative
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2025-31241: Christian Kohlschütter
libexpat
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: rr zijn een paar problemen in libexpat, zoals dat apps ineens stoppen of dat er zomaar code wordt uitgevoerd.
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2024-8176
mDNSResponder
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een gebruiker kan de bevoegdheden verhogen
Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Pro Res
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-31245: wac
Pro Res
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen
Beschrijving: Dit probleem is verholpen door verbeterde invoeropschoning.
CVE-2025-31234: CertiK (@CertiK)
Security
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2025-31221: Dave G.
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een type confusion-probleem kan mogelijk leiden tot het beschadigen van het geheugen
Beschrijving: dit probleem is verholpen door verbeterde verwerking van floats.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg van Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac in samenwerking met Trend Micro Zero Day Initiative
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) en een anonieme onderzoeker
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang(@eternalsakura13)
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: het probleem is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang en Jikai Ren
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
WebKit Bugzilla: 290834
CVE-2025-31206: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric van Google Project Zero
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: dit probleem is verholpen door verbeterde verwerking van het geheugen.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied van Lynck GmbH
Aanvullende erkenning
AirDrop
Met dank aan Dalibor Milanovic voor de hulp.
Kernel
Met dank aan een anonieme onderzoeker voor de hulp.
MobileGestalt
Met dank aan iisBuri voor de hulp.
NetworkExtension
Met dank aan Andrei-Alexandru Bleorțu voor de hulp.
WebKit
Met dank aan Mike Dougherty en Daniel White van Google Chrome en een anonieme onderzoeker voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.