Despre conținutul de securitate din tvOS 18.3

Acest document descrie conținutul de securitate din tvOS 18.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

tvOS 18.3

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să corupă memoria de proces

Descriere: a fost remediată o problemă legată de validarea intrărilor.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală poate corupe memoria de proces

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu și Xingwei Lin din cadrul Universității Zhejiang

CoreAudio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24123: Desmond în colaborare cu Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate să acorde privilegii superioare. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 17.2.

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-24085

CoreMedia Playback

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) și Lee Dong Ha (Who4mI)

Display

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24111: Wang Yu de la Cyberserval

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24086: DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) din cadrul Enki WhiteHat, D4m0n

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-24107: un cercetător anonim

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2025-24159: pattern-f (@pattern_F_)

libxslt

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-55549: Ivan Fratric de la Google Project Zero

CVE-2025-24855: Ivan Fratric de la Google Project Zero

PackageKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-24149: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24189: un cercetător anonim

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) și P1umer (@p1umer) (Imperial Global Singapore).

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24162: linjy (HKUS3Lab) și chluo (WHUSecLab)

Alte mențiuni

Audio

Dorim să mulțumim Google Threat Analysis Group pentru asistență.

CoreAudio

Dorim să mulțumim Google Threat Analysis Group pentru asistență.

iCloud

Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, George Kovaios și Srijan Poudel pentru asistența acordată.

Passwords

Dorim să-i mulțumim lui Talal Haj Bakry și lui Tommy Mysk (Mysk Inc. @mysk_co) pentru asistență.

Static Linker

Dorim să îi mulțumim lui Holger Fuhrmannek pentru asistența acordată.