Sobre o conteúdo de segurança do tvOS 26.1

Este documento descreve o conteúdo de segurança do tvOS 26.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

tvOS 26.1

Apple Neural Engine

Disponível para: Apple TV 4K (2ª geração e posterior)

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43462: pesquisador anônimo

AppleMobileFileIntegrity

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias nos direitos.

CVE-2025-43407: JZ

CloudKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir sair de sua área restrita

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43436: Zhongcheng Li da IES Red Team da ByteDance

CoreText

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2025-43445: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

FontParser

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de uma fonte criada com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43400: Apple

Installer

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-43444: Zhongcheng Li da IES Red Team da ByteDance

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app em área restrita pode observar conexões de rede em todo o sistema

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2025-43413: Dave G. e Alex Radocea da supernetworks.org

MallocStackLogging

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: havia um problema na análise de variáveis do ambiente. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

VE-2025-43386: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43385: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43384: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VE-2025-43383: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-43480: Aleksejs Popovs

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-43443: pesquisador anônimo

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen do Google

CVE-2025-43425: pesquisador anônimo

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias nas verificações

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-43432: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site poderia extrair dados de imagem de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2025-43392: Tom Van Goethem

Outros reconhecimentos

MobileInstallation

Gostaríamos de agradecer a Bubble Zhang pela ajuda.

WebKit

Gostaríamos de agradecer a Enis Maholli (enismaholli.com), Google Big Sleep pela ajuda.