Sobre o conteúdo de segurança do tvOS 18.6
Este documento descreve o conteúdo de segurança do tvOS 18.6.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para mais informações sobre segurança, consulte a página Segurança do produto Apple.
tvOS 18.6
Lançado em 29 de julho de 2025
afclip
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43186: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CFNetwork
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um usuário sem privilégios poderia conseguir modificar ajustes de rede restritos
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-43223: Andreas Jaegersberger & Ro Achterberg da Nosebeard Labs
CoreAudio
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de um arquivo de áudio criado com códigos maliciosos pode levar à corrupção da memória
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-43277: Google Threat Analysis Group
CoreMedia
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-43210: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreMedia Playback
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2025-43230: Chi Yuan Chang da ZUSO ART e taikosoup
ICU
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-43209: Gary Kwong em parceria com a Zero Day Initiative da Trend Micro
ImageIO
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-43226
libxml2
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de um arquivo pode causar corrupção da memória
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2025-7425: Sergei Glazunov do Google Project Zero
libxslt
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2025-7424: Ivan Fratric do Google Project Zero
Metal
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar uma textura criada com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2025-43234: Vlad Stolyarov do Google Threat Analysis Group
Model I/O
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-43224: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
CVE-2025-43221: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Model I/O
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de validação de entrada foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-31281: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri em parceria com a Trend Micro Zero Day Initiative, a Equipe de Segurança do Google V8
WebKit Bugzilla: 292621
CVE-2025-43213: Equipe de Segurança do Google V8
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) e Ziling Chen
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode divulgar estados internos do app
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) da Equipe de Pesquisa DEVCORE
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne e Vlad Stolyarov do Threat Analysis Group do Google
Outros reconhecimentos
Bluetooth
Gostaríamos de agradecer a LIdong LI, Xiao Wang, Shao Dong Chen e Chao Tan da Source Guard pela ajuda.
CoreAudio
Gostaríamos de agradecer a Noah Weinberg pela ajuda.
libxml2
Gostaríamos de agradecer a Sergei Glazunov do Google Project Zero pela ajuda.
libxslt
Gostaríamos de agradecer a Ivan Fratric do Google Project Zero pela ajuda.
WebKit
Gostaríamos de agradecer à Equipe de Segurança do Google V8, Yuhao Hu, Yan Kang, Chenggang Wu e Xiaojie Wei, rheza (@ginggilBesel) pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.