Sobre o conteúdo de segurança do tvOS 18.5

Este documento descreve o conteúdo de segurança do tvOS 18.5.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

tvOS 18.5

Lançamento: 12 de maio de 2025

AppleJPEG

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2025-31251: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Core Bluetooth

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-31212: Guilherme Rambo da Best Buddy Apps (rambo.codes)

CoreAudio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-31208: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreGraphics

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-31209: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-31239: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2025-31233: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma imagem criada com códigos maliciosos pode levar a uma negação de serviço

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2025-31226: Saagar Jha

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24224: Tony Iskow (@Tybbow)

Entrada adicionada em 29 de julho de 2025

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-31219: Michael DePlante (@izobashi) e Lucas Leong (@_wmliang_) da Zero Day Initiative da Trend Micro

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o encerramento inesperado de apps

Descrição: um problema do tipo "double free" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-31241: Christian Kohlschütter

libexpat

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: vários problemas no libexpat, incluindo encerramento inesperado de app ou execução arbitrária de códigos

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-8176

mDNSResponder

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um usuário pode conseguir elevar privilégios

Descrição: um problema de correção foi resolvido por meio de melhorias nas verificações.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Pro Res

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-31245: wac

Pro Res

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2025-31234: CertiK (@CertiK)

Security

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o vazamento de memória

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-31221: Dave G.

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um problema de confusão de tipo pode resultar na corrupção de memória

Descrição: esse problema foi resolvido por meio da melhoria no processamento de floats.

WebKit Bugzilla: 286694

CVE-2025-24213: Equipe de Segurança do Google V8

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 289387

CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg da Nosebeard Labs

WebKit Bugzilla: 289653

CVE-2025-31238: wac em parceria com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 287577

CVE-2025-24223: rheza (@ginggilBesel) e um pesquisador anônimo

WebKit Bugzilla: 291506

CVE-2025-31204: Nan Wang(@eternalsakura13)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: o problema foi resolvido por meio de melhorias na validação de entrada.

WebKit Bugzilla: 289677

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 288814

CVE-2025-31215: Jiming Wang e Jikai Ren

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 290834

CVE-2025-31206: um pesquisador anônimo

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 290992

CVE-2025-31205: Ivan Fratric do Google Project Zero

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari

Descrição: esse problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 290985

CVE-2025-31257: Juergen Schmied do Lynck GmbH

Outros reconhecimentos

AirDrop

Gostaríamos de agradecer a Dalibor Milanovic pela ajuda.

Kernel

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

MobileGestalt

Gostaríamos de agradecer a iisBuri pela ajuda.

NetworkExtension

Gostaríamos de agradecer a Andrei-Alexandru Bleorțu pela ajuda.

WebKit

Gostaríamos de agradecer Mike Dougherty e Daniel White do Google Chrome e um pesquisador anônimo pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: