Acerca dos conteúdos de segurança do tvOS 26.4

Este documento descreve os conteúdos de segurança do tvOS 26.4.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

tvOS 26.4

802.1X

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir intercetar o tráfego de rede

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Audio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2026-28879: Justin Cohen da Google

Audio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2026-28822: Jex Amro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um fluxo de áudio num ficheiro multimédia criado com intuito malicioso poderá encerrar o processo

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um utilizador com uma posição privilegiada na rede poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada da entrada.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app pode conseguir enumerar as apps instaladas de um utilizador

Descrição: foi resolvido um problema de privacidade ao remover dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: existia um problema no curl que poderia resultar no envio acidental de informações confidenciais através de uma ligação incorreta

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-14524

GeoServices

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: uma fuga de informações foi resolvida com validação adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-64505

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel

Descrição: este problema foi resolvido através de autenticação melhorada.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou escrever na memória do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app pode conseguir enumerar as apps instaladas de um utilizador

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2026-28882: Ilias Morad (A2nkF) do Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá conseguir ler as impressões digitais de um utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: uma app poderá causar uma recusa de serviço

Descrição: a ultrapassagem do limite máximo foi resolvida com validação melhorada da entrada.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá impedir que a política de segurança de conteúdos seja aplicada

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2026-20665: webb

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site malicioso poderá conseguir processar conteúdo Web restrito fora da sandbox

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2026-28859: greenbynox, Arni Hardarson

Agradecimentos adicionais

AirPort

Gostaríamos de agradecer a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari e Omid Rezaii pela sua colaboração.

Bluetooth

Gostaríamos de agradecer a Hamid Mahmoud pela sua colaboração.

Captive Network

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) pela sua colaboração.

CoreUI

Gostaríamos de agradecer a Peter Malone pela sua colaboração.

Find My

Gostaríamos de agradecer a Salemdomain pela sua colaboração.

GPU Drivers

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela sua colaboração.

ICU

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela sua colaboração.

Kernel

Gostaríamos de agradecer a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville da Fuzzinglabs, Patrick Ventuzelo da Fuzzinglabs, Robert Tran e Suresh Sundaram pela sua colaboração.

libarchive

Gostaríamos de agradecer a Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs e Arni Hardarson pela sua colaboração.

libc

Gostaríamos de agradecer a Vitaly Simonovich pela sua colaboração.

Libnotify

Gostaríamos de agradecer a llias Morad (@A2nkF_) pela sua colaboração.

LLVM

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

Messages

Gostaríamos de agradecer a JZ pela sua colaboração.

MobileInstallation

Gostaríamos de agradecer a Gongyu Ma (@Mezone0) pela sua colaboração.

ppp

Gostaríamos de agradecer a Dave G. pela sua colaboração.

Quick Look

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog) e um investigador anónimo pela sua colaboração.

Safari

Gostaríamos de agradecer a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad e Yair pela sua colaboração.

Shortcuts

Gostaríamos de agradecer a Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) pela sua colaboração.

Siri

Gostaríamos de agradecer a Anand Mallaya, consultor de tecnologia da Anand Mallaya and Co., Harsh Kirdolia e Hrishikesh Parmar, trabalhador independente, pela sua colaboração.

Spotlight

Gostaríamos de agradecer a Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group e Zack Tickman pela sua colaboração.

Time Zone

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India pela sua colaboração.

UIKit

Gostaríamos de agradecer a AEC, Abhay Kailasia (@abhay_kailasia) da Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento da Marinha dos EUA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 e incredincomp pela sua colaboração.

Wallet

Gostaríamos de agradecer a Zhongcheng Li da IES Red Team da ByteDance pela sua colaboração.

Web Extensions

Gostaríamos de agradecer a Carlos Jeurissen e Rob Wu (robwu.nl) pela sua colaboração.

WebKit

Gostaríamos de agradecer a Vamshi Paili pela sua colaboração.

WebKit Process Model

Gostaríamos de agradecer a Joseph Semaan pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) e um investigador anónimo pela sua colaboração.

Wi-Fi Connectivity

Gostaríamos de agradecer a Alex Radocea da Supernetworks, Inc pela sua colaboração.

Widgets

Gostaríamos de agradecer a Marcel Voß, Mitul Pranjay e Serok Çelik pela sua colaboração.