Over de beveiligingsinhoud van tvOS 18.6
In dit document wordt de beveiligingsinhoud van tvOS 18.6 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 18.6
Releasedatum: 29 juli 2025
afclip
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43186: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
CFNetwork
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een niet-geprivilegieerde gebruiker kan mogelijk beperkte netwerkinstellingen wijzigen
Beschrijving: een denial-of-service-probleem is verholpen door verbeterde invoervalidatie.
CVE-2025-43223: Andreas Jaegersberger en Ro Achterberg van Nosebeard Labs
CoreAudio
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-43277': Threat Analysis Group van Google
CoreMedia
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2025-43210: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
CoreMedia Playback
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door aanvullende controles op bevoegdheden.
CVE-2025-43230: Chi Yuan Chang van ZUSO ART en taikosoup
ICU
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2025-43209: Gary Kwong in samenwerking met het Zero Day Initiative van Trend Micro
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2025-43226
libxml2
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een bestand kan leiden tot geheugenbeschadiging
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2025-7425: Sergei Glazunov van Google Project Zero
libxslt
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2025-7424: Ivan Fratric van Google Project Zero
Metal
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigde structuur kan leiden tot het onverwacht beëindigen van de app
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2025-43234: Vlad Stolyarov van de Threat Analysis Group van Google
Model I/O
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2025-43224: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
CVE-2025-43221: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
Model I/O
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps
Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.
CVE-2025-31281: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri in samenwerking met het Zero Day Initiative van Trend Micro, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) en Ziling Chen
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van interne statussen van de app
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) van DEVCORE Research Team
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte crash van Safari
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne en Vlad Stolyarov van de Threat Analysis Group van Google
Aanvullende erkenning
Bluetooth
Met dank aan LIdong LI, Xiao Wang, Shao Dong Chen en Chao Tan van Source Guard voor de hulp.
CoreAudio
Met dank aan Noah Weinberg voor de hulp.
libxml2
Met dank aan Sergei Glazunov van Google Project Zero voor de hulp.
libxslt
Met dank aan Ivan Fratric van Google Project Zero voor de hulp.
WebKit
Met dank aan Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu en Xiaojie Wei, rheza (@ginggilBesel) voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.