.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om sikkerhetsinnholdet i tvOS 26.5

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 26.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

tvOS 26.5

Utgitt 11. mai 2026

Accelerate

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28959: Dave G.

App Intents

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En skadelig app kan være i stand til å bryte ut av sandkassen sin

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) for Reverse Society

AppleJPEG

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig mediefil kan føre til uventet avslutning av en app eller korrupt prosessminne

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2026-28956: impost0r (ret2plt)

Audio

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en lydstrøm i en ondsinnet mediefil kan avslutte prosessen

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-39869: David Ige fra Beryllium Security

CoreSymbolication

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Analyse av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2026-28918: Niels Hofmans, anonym i samarbeid med TrendAI Zero Day Initiative

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2026-43661: En anonym forsker

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2026-28977: Suresh Sundaram

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28990: Jiri Ha og Arni Hardarson

IOHIDFamily

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan forårsake uventet appavslutning

Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan være i stand til å fastslå kjerneminnets oppsett

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking og Ashish Kunwar

IOSurfaceAccelerator

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning eller lese kjerneminnet

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-43655: Somair Ansar og en anonym forsker

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet

Beskrivelse: En bufferoverskridelse ble løst med bedre validering av inndata.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2026-28972: Billy Jheng Bing Jhong og Pan Zhenpeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) fra Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et loggingsproblem ble løst gjennom forbedret dataredigering.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-43653: Atul R V

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-43668: Anton Pakhunov og Ricardo Prado

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan skade prosessminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2026-28940: Michael DePlante (@izobashi) fra TrendAI Zero Day Initiative

SceneKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En ekstern angriper kan forårsake uventet systemavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2026-28846: Peter Malone

Spotlight

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2026-28974: Andy Koo (@andykoo) fra Hexens

Storage

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2026-28996: Alex Radocea

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu og Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym i samarbeid med TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac og Kookhwan Lee i samarbeid med TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) fra Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern og Guido Vranken), Maher Azzouzi, Ngan Nguyen fra Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: En anonym forsker

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr og Nicholas Carlini hos Claude, Anthropic

Wi-Fi

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre et tjenestenektangrep ved hjelp av utformede Bluetooth-pakker

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2026-28994: Alex Radocea

zlib

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger

Beskrivelse: En informasjonslekkasje ble løst gjennom tilleggsvalidering.

CVE-2026-28920: Brendon Tiszka fra Google Project Zero

Ytterligere anerkjennelser

App Intents

Vi vil gjerne takke Mikael Kinnman for hjelpen.

Apple Account

Vi vil gjerne takke Iván Savransky og YingQi Shi (@Mas0nShi) fra DBAppSecuritys WeBin lab for hjelpen.

AuthKit

Vi vil gjerne takke Gongyu Ma (@Mezone0) for hjelpen.

CoreUI

Vi vil gjerne takke Mustafa Calap for hjelpen.

ICU

Vi vil gjerne takke en anonym forsker for hjelpen.

Kernel

Vi vil gjerne takke Ryan Hileman via Xint Code (xint.io), Suresh Sundaram og en anonym forsker for hjelpen.

Libnotify

Vi vil gjerne takke Ilias Morad (@A2nkF_) for hjelpen.

mDNSResponder

Vi vil gjerne takke Jason Grove for hjelpen.

Siri

Vi vil gjerne takke Yoav Magid for hjelpen.

WebKit

Vi vil gjerne takke Vitaly Simonovich for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 15. mai 2026