Om sikkerhetsinnholdet i tvOS 26

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 26.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

tvOS 26

Apple Neural Engine

Tilgjengelig for: Apple TV 4K (2. generasjon og nyere)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43344: en anonym forsker

AppleMobileFileIntegrity

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2025-43346: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Bluetooth

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2025-43354: Csaba Fitzl (@theevilbit) fra Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) fra Kandji

CoreAudio

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2025-43349: @zlluny i samarbeid med Trend Micro Zero Day Initiative

CoreMedia

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

CVE-2025-43372: 이동하 (Lee Dong Ha) fra SSA Lab

IOHIDFamily

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2025-43302: Keisuke Hosoda

IOKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-31255: Csaba Fitzl (@theevilbit) fra Kandji

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et UDP-serveruttak som går til et lokalt grensesnitt, kan begynne å gå til alle grensesnitt

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2025-43355: Dawuge fra Shuffle Team

Sandbox

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2025-43329: en anonym forsker

SQLite

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en fil kan føre til skadet minne

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-6965

System

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et problem med validering av inndata ble løst

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et nettsted kan få tilgang til sensorinformasjon uten brukerens samtykke

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2025-43356: Jaydev Ahire

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2025-43343: en anonym forsker

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med korrekthet ble løst med forbedrede kontroller.

CVE-2025-43342: en anonym forsker

Ytterligere anerkjennelser

Accounts

Vi vil gjerne takke 要乐奈 for hjelpen.

AuthKit

Vi vil gjerne takke Rosyna Keller fra Totally Not Malicious Software for hjelpen.

CFNetwork

Vi vil gjerne takke Christian Kohlschütter for hjelpen.

CloudKit

Vi vil gjerne takke Yinyi Wu (@_3ndy1) fra Dawn Security Lab fra JD.com, Inc for hjelpen.

CoreMedia

Vi vil gjerne takke Noah Gregory (wts.dev) for hjelpen.

darwinOS

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

Foundation

Vi vil gjerne takke Csaba Fitzl (@theevilbit) hos Kandji for hjelpen.

ImageIO

Vi vil gjerne takke DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat for hjelpen.

Kernel

Vi vil gjerne takke Yepeng Pan, Prof. Dr. Christian Rossow for hjelpen.

libc

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

libpthread

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

libxml2

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

mDNSResponder

Vi vil gjerne takke Barrett Lyon for hjelpen.

MediaRemote

Vi vil gjerne takke Dora Orak for hjelpen.

Sandbox Profiles

Vi vil gjerne takke Rosyna Keller fra Totally Not Malicious Software for hjelpen.

Transparency

Vi vil gjerne takke Wojciech Regula fra SecuRing (wojciechregula.blog), 要乐奈 for hjelpen.

WebKit

Vi vil gjerne takke Bob Lord, Matthew Liang, Mike Cardwell fra grepular.com for hjelpen.

Wi-Fi

Vi vil gjerne takke Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) fra Kandji, Noah Gregory (wts.dev), Wojciech Regula fra SecuRing (wojciechregula.blog), en anonym forsker for hjelpen.