Acerca dos conteúdos de segurança do tvOS 26

Este documento descreve os conteúdos de segurança do tvOS 26.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

tvOS 26

Apple Neural Engine

Disponível para: Apple TV 4K (2.ª geração e posterior)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2025-43344: um investigador anónimo

AppleMobileFileIntegrity

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou corromper a memória do processo

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2025-43346: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

Bluetooth

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.

CVE-2025-43354: Csaba Fitzl (@theevilbit) da Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) da Kandji

CoreAudio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.

CVE-2025-43349: @zlluny em colaboração com o programa Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou corromper a memória do processo

Descrição: o problema foi resolvido através da validação melhorada da entrada.

CVE-2025-43372: 이동하 (Lee Dong Ha) do SSA Lab

IOHIDFamily

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2025-31255: Csaba Fitzl (@theevilbit) da Kandji

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma tomada do servidor UDP ligada a uma interface local pode ficar ligada a todas as interfaces

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2025-43355: Dawuge da Shuffle Team

Sandbox

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43329: um investigador anónimo

SQLite

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um ficheiro pode causar uma corrupção de memória

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-6965

System

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: foi resolvido um problema de validação da entrada

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site pode aceder às informações dos sensores sem a autorização do utilizador

Descrição: o problema foi resolvido através do processamento melhorado de caches.

CVE-2025-43356: Jaydev Ahire

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-43343: um investigador anónimo

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema de correção através de verificações melhoradas.

CVE-2025-43342: um investigador anónimo

Agradecimentos adicionais

Accounts

Gostaríamos de agradecer a 要乐奈 pela sua colaboração.

AuthKit

Gostaríamos de agradecer a Rosyna Keller da Totally Not Malicious Software pela sua colaboração.

CFNetwork

Gostaríamos de agradecer a Christian Kohlschütter pela sua colaboração.

CloudKit

Gostaríamos de agradecer a Yinyi Wu (@_3ndy1) do Dawn Security Lab da JD.com, Inc pela sua colaboração.

CoreMedia

Gostaríamos de agradecer a Noah Gregory (wts.dev) pela sua colaboração.

darwinOS

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

Foundation

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

ImageIO

Gostaríamos de agradecer a DongJun Kim (@smlijun) e a JongSeong Kim (@nevul37) na Enki WhiteHat pela sua colaboração.

Kernel

Gostaríamos de agradecer a Yepeng Pan e ao Prof. Dr. Christian Rossow pela sua colaboração.

libc

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

libpthread

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

libxml2

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

mDNSResponder

Gostaríamos de agradecer a Barrett Lyon pela sua colaboração.

MediaRemote

Gostaríamos de agradecer a Dora Orak pela sua colaboração.

Sandbox Profiles

Gostaríamos de agradecer a Rosyna Keller da Totally Not Malicious Software pela sua colaboração.

Transparency

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog), 要乐奈 pela sua colaboração.

WebKit

Gostaríamos de agradecer a Bob Lord, Matthew Liang, Mike Cardwell da grepular.com pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) da Kandji, Noah Gregory (wts.dev), Wojciech Regula da SecuRing (wojciechregula.blog) e a um investigador anónimo pela sua colaboração.