Zawartość związana z zabezpieczeniami w systemie tvOS 26.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 26.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 26.1

Apple Neural Engine

Dostępne dla: Apple TV 4K (2. generacji i nowszych)

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43462: anonimowy badacz

AppleMobileFileIntegrity

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2025-43407: JZ

CloudKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43436: Zhongcheng Li z IES Red Team w ByteDance

CoreText

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2025-43445: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

FontParser

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej czcionki może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43400: Apple

Installer

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2025-43444: Zhongcheng Li z IES Red Team w ByteDance

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja działająca w piaskownicy może być w stanie obserwować połączenia sieciowe w całym systemie.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2025-43413: Dave G. i Alex Radocea z supernetworks.org

MallocStackLogging

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: w procedurze obsługi zmiennych środowiskowych występował błąd. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43386: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43385: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43384: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2025-43383: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2025-43480: Aleksejs Popovs

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2025-43443: anonimowy badacz

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen z Google

CVE-2025-43425: anonimowy badacz

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2025-43432: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: witryna internetowa może wykradać dane obrazów między różnymi źródłami.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2025-43392: Tom Van Goethem

Dodatkowe podziękowania

MobileInstallation

Dziękujemy za udzieloną pomoc: Bubble Zhang.

WebKit

Dziękujemy za udzieloną pomoc: Enis Maholli (enismaholli.com), Google Big Sleep.