Om sikkerhetsinnholdet i tvOS 26.4

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 26.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

tvOS 26.4

802.1X

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre nettverkstrafikk

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2026-28865: Héloïse Gollier og Mathy Vanhoef (KU Leuven)

Audio

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2026-28879: Justin Cohen fra Google

Audio

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2026-28822: Jex Amro

CoreMedia

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en lydstrøm i en skadelig mediefil kan føre til avslutning av prosessen

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2026-20690: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CoreUtils

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En bruker i en privilegert nettverksposisjon kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2026-28886: Etienne Charron (Renault) og Victoria Martini (Renault)

Crash Reporter

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Et personvernproblem ble løst ved å fjerne sensitive data.

CVE-2026-28878: Zhongcheng Li fra IES Red Team

curl

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Det var et problem i curl som kunne føre til utilsiktet sending av sensitiv informasjon via feil tilkobling

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-14524

GeoServices

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28870: XiguaSec

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2025-64505

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan telle en brukers installerte apper

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) fra Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.

CVE-2026-28852: Caspian Tarafdar

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2026-20665: webb

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan behandle begrenset nettinnhold utenfor sandkassen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28859: greenbynox, Arni Hardarson

Ytterligere anerkjennelser

AirPort

Vi vil gjerne takke Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari og Omid Rezaii for hjelpen.

Bluetooth

Vi vil gjerne takke Hamid Mahmoud for hjelpen.

Captive Network

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) for hjelpen.

CoreUI

Vi vil gjerne takke Peter Malone for hjelpen.

Find My

Vi vil gjerne takke Salemdomain for hjelpen.

GPU Drivers

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

ICU

Vi vil gjerne takke Jian Lee (@speedyfriend433) for hjelpen.

Kernel

Vi vil gjerne takke DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville fra Fuzzinglabs, Patrick Ventuzelo fra Fuzzinglabs, Robert Tran og Suresh Sundaram for hjelpen.

libarchive

Vi vil gjerne takke Andreas Jaegersberger & Ro Achterberg fra Nosebeard Labs og Arni Hardarson for hjelpen.

libc

Vi vil gjerne takke Vitaly Simonovich for hjelpen.

Libnotify

Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.

LLVM

Vi vil gjerne takke Nathaniel Oh (@calysteon) for hjelpen.

Messages

Vi vil gjerne takke JZ for hjelpen.

MobileInstallation

Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.

ppp

Vi vil gjerne takke Dave G. for hjelpen.

Quick Look

Vi vil gjerne takke Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke @RenwaX23, Farras Givari, Syarif Muhammad Sajjad og Yair for hjelpen.

Shortcuts

Vi vil gjerne takke Waleed Barakat (@WilDN00B) og Paul Montgomery (@nullevent) for hjelpen.

Siri

Vi vil gjerne takke Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia og Hrishikesh Parmar fra Self-Employed for hjelpen.

Spotlight

Vi vil gjerne takke Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group og Zack Tickman for hjelpen.

Time Zone

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) hos Safran Mumbai India for hjelpen.

UIKit

Vi vil gjerne takke AEC, Abhay Kailasia (@abhay_kailasia) fra Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 og incredincomp for hjelpen.

Wallet

Vi vil gjerne takke Zhongcheng Li fra IES Red Team hos ByteDance for hjelpen.

Web Extensions

Vi vil gjerne takke Carlos Jeurissen og Rob Wu (robwu.nl) for hjelpen.

WebKit

Vi vil gjerne takke Vamshi Paili for hjelpen.

WebKit Process Model

Vi vil gjerne takke Joseph Semaan for hjelpen.

Wi-Fi

Vi vil gjerne takke Kun Peeks (@SwayZGl1tZyyy) og en anonym forsker for hjelpen.

Wi-Fi Connectivity

Vi vil gjerne takke Alex Radocea fra Supernetworks, Inc for hjelpen.

Widgets

Vi vil gjerne takke Marcel Voß, Mitul Pranjay og Serok Çelik for hjelpen.