Over de beveiligingsinhoud van tvOS 26.4

In dit document wordt de beveiligingsinhoud van tvOS 26.4 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 26.4

802.1X

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2026-28865: Héloïse Gollier en Mathy Vanhoef (KU Leuven)

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2026-28879: Justin Cohen van Google

Audio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller kan het onverwacht beëindigen van een app veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28822: Jex Amro

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een audiostream in een kwaadwillig vervaardigd mediabestand kan het proces beëindigen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-20690: Hossein Lotfi (@hosselot) van het Zero Day Initiative van Trend Micro

CoreUtils

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een gebruiker in een geprivilegieerde netwerkpositie kan een denial of service-aanval veroorzaken

Beschrijving: een null pointer-dereferentie is verholpen door verbeterde invoervalidatie.

CVE-2026-28886: Etienne Charron (Renault) en Victoria Martini (Renault)

Crash Reporter

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens te verwijderen.

CVE-2026-28878: Zhongcheng Li van IES Red Team

curl

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: er was een probleem in curl dat ertoe kan leiden dat er onbedoeld gevoelige informatie wordt verstuurd via een onjuiste verbinding

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-14524

GeoServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een datalek is verholpen door aanvullende validatie.

CVE-2026-28870: XiguaSec

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-64505

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: dit probleem is verholpen door verbeterde authenticatie.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de geïnstalleerde apps van een gebruiker inventariseren

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2026-28882: Ilias Morad (A2nkF) van Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk de vingerafdruk van de gebruiker afnemen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk een denial-of-service veroorzaken

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2026-28852: Caspian Tarafdar

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2026-20665: webb

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadaardige website kan mogelijk beperkt webmateriaal buiten de sandbox verwerken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-28859: greenbynox, Arni Hardarson

Aanvullende erkenning

AirPort

Met dank aan Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari en Omid Rezaii voor de hulp.

Bluetooth

Met dank aan Hamid Mahmoud voor de hulp.

Captive Network

Met dank aan Kun Peeks (@SwayZGl1tZyyy) voor de hulp.

CoreUI

Met dank aan Peter Malone voor de hulp.

Find My

Met dank aan Salemdomain voor de hulp.

GPU Drivers

Met dank aan Jian Lee (@speedyfriend433) voor de hulp.

ICU

Met dank aan Jian Lee (@speedyfriend433) voor de hulp.

Kernel

Met dank aan DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville van Fuzzinglabs, Patrick Ventuzelo van Fuzzinglabs, Robert Tran en Suresh Sundaram voor de hulp.

libarchive

Met dank aan Andreas Jaegersberger en Ro Achterberg van Nosebeard Labs en Arni Hardarson voor de hulp.

libc

Met dank aan Vitaly Simonovich voor de hulp.

Libnotify

Met dank aan Ilias Morad (@A2nkF_) voor de hulp.

LLVM

Met dank aan Nathaniel Oh (@calysteon) voor de hulp.

BerichtenMessages

Met dank aan JZ voor de hulp.

MobileInstallation

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

ppp

Met dank aan Dave G. voor de hulp.

Quick Look

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) en een anonieme onderzoeker, voor de hulp.

Safari

Met dank aan @RenwaX23, Farras Givari, Syarif Muhammad Sajjad en Yair voor de hulp.

Shortcuts

Met dank aan Waleed Barakat (@WilDN00B) en Paul Montgomery (@nullevent) voor de hulp.

Siri

Met dank aan Anand Mallaya, technisch consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, zelfstandige, voor de hulp.

Spotlight

Met dank aan Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group en Zack Tickman voor de hulp.

Time Zone

Met dank aan Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India voor de hulp.

UIKit

Met dank aan AEC, Abhay Kailasia (@abhay_kailasia) van Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (het Amerikaanse ministerie van de Marine), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 en incredincomp voor de hulp.

Wallet

Met dank aan Zhongcheng Li van IES Red Team van ByteDance voor de hulp.

Web Extensions

Met dank aan Carlos Jeurissen en Rob Wu (robwu.nl) voor de hulp.

WebKit

Met dank aan Vamshi Paili voor de hulp.

WebKit Process Model

Met dank aan Joseph Semaan voor de hulp.

Wi-Fi

Met dank aan Kun Peeks (@SwayZGl1tZyyy) en een anonieme onderzoeker, voor de hulp.

Wi-Fi Connectivity

Met dank aan Alex Radocea van Supernetworks, Inc voor de hulp.

Widgets

Met dank aan Marcel Voß, Mitul Pranjay en Serok Çelik voor de hulp.