Zawartość związana z zabezpieczeniami w systemie tvOS 26.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 26.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 26.3

Bluetooth

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: Atakująca osoba z uprzywilejowanym dostępem do sieci może przeprowadzić atak typu „odmowa usługi” z użyciem spreparowanych pakietów Bluetooth.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2026-20650: jioundai

CoreAudio

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zakończenie działania aplikacji lub uszkodzenie pamięci procesowej.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-20611: Anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

CoreMedia

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) z Iru

dyld

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: Atakująca osoba z możliwością zapisu do pamięci może być w stanie wykonać dowolny kod. Apple ma świadomość, że problem mógł być wykorzystywany w bardzo zaawansowanych atakach na określone osoby fizyczne z systemem iOS starszym niż iOS 26. W odpowiedzi na to zgłoszenie wydano również identyfikatory CVE-2025-14174 i CVE-2025-43529.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2026-20700: Threat Analysis Group firmy Google

Game Center

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: użytkownik może wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd rejestru przez ulepszenie redagowania danych.

CVE-2026-20649: Asaf Cohen

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetwarzanie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2026-20675: George Karchemsky (@gkarchemsky) w ramach programu Zero Day Initiative firmy Trend Micro.

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20634: George Karchemsky (@gkarchemsky) w ramach programu Zero Day Initiative firmy Trend Micro.

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: Przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-59375

Sandbox

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie określić, jakie inne aplikacje zostały zainstalowane przez użytkownika.

Opis: naprawiono błąd prywatności przez poprawienie procedur sprawdzania.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20635: EntryHi

Dodatkowe podziękowania

Bluetooth

Dziękujemy za udzieloną pomoc: Tommaso Sacchetti.

Kernel

Dziękujemy za udzieloną pomoc: Joseph Ravichandran (@0xjprx) z MIT CSAIL, Xinru Chi z Pangu Lab.

libpthread

Dziękujemy za udzieloną pomoc: Fabiano Anemone.

NetworkExtension

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

Transparency

Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog).

WebKit

Dziękujemy za udzieloną pomoc: EntryHi, Luigino Camastra z Aisle Research, Stanislav Fort z Aisle Research, Vsevolod Kokorin (Slonser) z Solidlab i Jorian Woltjer.