Om sikkerhetsinnholdet i tvOS 18.6
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.6.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på siden for Apple-produktsikkerhet.
tvOS 18.6
Utgitt 29. juli 2025
afclip
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Analyse av en fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2025-43186: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative
CFNetwork
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En bruker uten rettigheter kan endre begrensede nettverksinnstillinger
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret inndatavalidering.
CVE-2025-43223: Andreas Jaegersberger og Ro Achterberg fra Nosebeard Labs
CoreAudio
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig lydfil kan føre til skadet minne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2025-43277: Googles Threat Analysis Group
CoreMedia
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2025-43210: Hossein Lotfi (@hosselot) hos Trend Micro Zero Day Initiative
CoreMedia Playback
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2025-43230: Chi Yuan Chang fra ZUSO ART og taikosoup
ICU
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2025-43209: Gary Kwong i samarbeid med Trend Micro Zero Day Initiative
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2025-43226
libxml2
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en fil kan føre til skadet minne
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID-en på cve.org.
CVE-2025-7425: Sergei Glazunov fra Google Project Zero
libxslt
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.
CVE-2025-7424: Ivan Fratric fra Google Project Zero
Metal
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig struktur kan føre til uventet applukking
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2025-43234: Vlad Stolyarov fra Googles Threat Analysis Group
Model I/O
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2025-43224: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
Model I/O
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.
CVE-2025-31281: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri i samarbeid med Trend Micro Zero Day Initiative, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) og Ziling Chen
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu og Xiaojie Wei
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan avsløre interne tilstander i appen
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) fra DEVCORE Research Team
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID-en på cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne og Vlad Stolyarov fra Googles Threat Analysis Group
Ytterligere anerkjennelser
Bluetooth
Vi vil gjerne takke LIdong LI, Xiao Wang, Shao Dong Chen og Chao Tan fra Source Guard for hjelpen.
CoreAudio
Vi vil gjerne takke Noah Weinberg for hjelpen.
libxml2
Vi vil gjerne takke Sergei Glazunov fra Google Project Zero for hjelpen.
libxslt
Vi vil gjerne takke Ivan Fratic fra Google Project Zero for hjelpen.
WebKit
Vi vil gjerne takke Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu, Xiaojie Wei og rheza (@ginggilBesel) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.