Despre conținutul de securitate din tvOS 18.4

Acest document descrie conținutul de securitate din tvOS 18.4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

tvOS 18.4

AirDrop

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate citi metadate ale unor fișiere arbitrare

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-24097: Ron Masas din cadrul BREAKPOINT.SH

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un utilizator neautentificat din aceeași rețea ca un Mac autentificat putea să-i trimită comenzi AirPlay fără asociere

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să colecteze informații sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să corupă memoria de proces

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să ocolească politica de autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate să ocolească ASLR

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-43205: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Audio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24244: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Audio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24243: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

Calendar

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24163: Google Threat Analysis Group

CoreAudio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: redarea un fișier audio modificat cu rea intenție poate cauza terminarea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24230: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreGraphics

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-31196: wac în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a memoriei.

CVE-2025-24211: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24190: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreMedia Playback

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) de la Microsoft, și un cercetător anonim

CoreText

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2025-24182: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative

CoreUtils

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-9681

Foundation

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost rezolvată prin curățarea înregistrărilor

CVE-2025-30447: LFY@secsys de la Universitatea Fudan

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier de imagine poate cauza divulgarea informațiilor despre utilizator

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2025-24210: anonim, în colaborare cu inițiativa Zero Day de la Trend Micro

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate fi capabilă să introducă parole pe un dispozitiv blocat și să determine, prin urmare, escaladarea întârzierilor de timp după 4 încercări eșuate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: a fost remediată o problemă legată de validarea intrărilor

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2024-48958

libnetcore

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24194: un cercetător anonim

libxml2

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24178: un cercetător anonim

libxpc

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2025-31182: Alex Radocea și Dave G. din cadrul Supernetworks, 风沐云烟(@binary_fmyy) și Minghao Lin(@Y1nKoc)

libxpc

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2025-24238: un cercetător anonim

NetworkExtension

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație ar putea fi capabilă să enumere aplicațiile instalate de utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-30426: Jimmy

Power Services

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2025-30471: Bing Shi, Wenchao Li și Xiaolong Bai de la Alibaba Group, Luyi Xing de la Indiana University Bloomington

Share Sheet

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate fi capabilă să anuleze notificarea de sistem privind pornirea unei aplicații de înregistrare, pe un Ecran Blocat

Descriere: această problemă a fost remediată prin restricții suplimentare pentru acces.

CVE-2025-30438: Halle Winkler, Politepix (theoffcuts.org

Siri

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de confidențialitate a fost rezolvată prin neînregistrarea conținuturilor în câmpurile de text.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24264: Gary Kwong și un cercetător anonim

CVE-2025-24216: Paul Bakker din cadrul ParagonERP

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2025-24209: Francisco Alonso (@revskills) și un cercetător anonim

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-30425: un cercetător anonim

Alte mențiuni

Accounts

Dorim să îi mulțumim lui Bohdan Stasiuk (@bohdan_stasiuk) pentru asistența acordată.

AirPlay

Dorim să îi mulțumim lui Uri Katz (Oligo Security) pentru asistență.

Apple Account

Dorim să îi mulțumim lui Byron Fecho pentru asistența acordată.

Find My

Dorim să îi mulțumim lui 神罚(@Pwnrin) pentru asistența acordată.

Foundation

Dorim să îi mulțumim pentru asistență lui Jann Horn (Google Project Zero).

Handoff

Dorim să le mulțumim lui Kirin și lui FlowerCode pentru asistența acordată.

HearingCore

Dorim să le mulțumim lui Kirin@Pwnrin și lui LFY@secsys din cadrul Fudan University pentru asistența acordată.

ImageIO

Dorim să îi mulțumim lui D4m0n pentru asistența acordată.

Photos

Dorim să-i mulțumim lui Bistrit Dahal pentru asistența acordată.

Sandbox Profiles

Dorim să îi mulțumim lui Benjamin Hornbeck pentru asistența acordată.

SceneKit

Dorim să-i mulțumim lui Marc Schoenefeld, Dr. rer. nat. pentru asistența acordată.

Security

Dorim să-i mulțumim lui Kevin Jones (GitHub) pentru asistență.

Siri

Dorim să îi mulțumim lui Lyutoon pentru asistența acordată.

WebKit

Dorim să îi mulțumim lui Gary Kwong, P1umer (@p1umer) și Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang și Daoyuan Wu din cadrul HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) din cadrul VXRL, Wong Wai Kin, Dongwei Xiao și Shuai Wang din cadrul HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) din cadrul VXRL., Xiangwei Zhang din cadrul Tencent Security YUNDING LAB, 냥냥 și unui cercetător anonim pentru asistența acordată.