Zawartość związana z zabezpieczeniami w systemie tvOS 18.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 18.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 18.3

AirPlay

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować uszkodzenie pamięci procesowej.

Opis: rozwiązano problem ze sprawdzaniem poprawności danych wejściowych.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca w sieci lokalnej może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca w sieci lokalnej może być w stanie spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca w sieci lokalnej może uszkodzić pamięć procesową.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin z Uniwersytetu Zhejiang

CoreAudio

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24160: Threat Analysis Group firmy Google

CVE-2025-24161: Threat Analysis Group firmy Google

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: analiza składni pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24123: Desmond pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-24124: Pwn2car i Rotiple (HyeongSeok Jang) pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie podwyższyć uprawnienia. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 17.2.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2025-24085

CoreMedia Playback

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) i Lee Dong Ha (Who4mI)

Display

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2025-24111: Wang Yu z Cyberserval

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) w Enki WhiteHat, D4m0n

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-24107: anonimowy badacz

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2025-24159: pattern-f (@pattern_F_)

libxslt

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-55549: Ivan Fratric z Google Project Zero

CVE-2025-24855: Ivan Fratric z Google Project Zero

PackageKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-24149: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-24189: anonimowy badacz

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-24158: Q1IQ (@q1iqF) z NUS CuriOSity i P1umer (@p1umer) z Imperial Global Singapore.

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-24162: linjy z HKUS3Lab i chluo z WHUSecLab

Dodatkowe podziękowania

Audio

Dziękujemy za udzieloną pomoc: Threat Analysis Group firmy Google.

CoreAudio

Dziękujemy za udzieloną pomoc: Threat Analysis Group firmy Google.

iCloud

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, George Kovaios, Srijan Poudel.

Passwords

Dziękujemy za udzieloną pomoc: Talal Haj Bakry i Tommy Mysk z Mysk Inc. @mysk_co.

Static Linker

Dziękujemy za udzieloną pomoc: Holger Fuhrmannek.