Despre conținutul de securitate din tvOS 18.5
Acest document descrie conținutul de securitate din tvOS 18.5.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
tvOS 18.5
Lansare: 12 mai 2025
AppleJPEG
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.
CVE-2025-31251: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative
Core Bluetooth
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2025-31212: Guilherme Rambo de la Best Buddy Apps (rambo.codes)
CoreAudio
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-31208: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative
CoreGraphics
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2025-31209: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative
CoreMedia
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2025-31239: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative
CoreMedia
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei
Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.
CVE-2025-31233: Hossein Lotfi (@hosselot) din cadrul Trend Micro Zero Day Initiative
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2025-31226: Saagar Jha
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-24224: Tony Iskow (@Tybbow)
Intrare adăugată pe 29 iulie 2025
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2025-31219: Michael DePlante (@izobashi) și Lucas Leong (@_wmliang_) de la Trend Micro Zero Day Initiative
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației
Descriere: o problemă de eliberare dublă a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2025-31241: Christian Kohlschütter
libexpat
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: mai multe probleme în libexpat, inclusiv închiderea neașteptată a aplicației sau executarea arbitrară de cod
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.
CVE-2024-8176
mDNSResponder
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un utilizator poate să acorde privilegii superioare
Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2025-31222: Paweł Płatek de la Trail of Bits
Pro Res
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2025-31245: wac
Pro Res
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel
Descriere: Problema a fost rezolvată prin îmbunătățirea igienizării intrării.
CVE-2025-31234: CertiK (@CertiK)
Security
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2025-31221: Dave G.
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o problemă de confundare a tipurilor ar putea conduce la coruperea memoriei
Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a elementelor float.
WebKit Bugzilla: 286694
CVE-2025-24213: Google V8 Security Team
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger și Ro Achterberg de la Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) și un cercetător anonim
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang(@eternalsakura13)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang și Jikai Ren
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
WebKit Bugzilla: 290834
CVE-2025-31206: un cercetător anonim
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric (Google Project Zero)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari
Descriere: această problemă a fost remediată prin gestionarea îmbunătățită a memoriei.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied de la Lynck GmbH
Alte mențiuni
AirDrop
Dorim să îi mulțumim lui Dalibor Milanovic pentru asistența acordată.
Kernel
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
MobileGestalt
Dorim să îi mulțumim lui iisBuri pentru asistența acordată.
NetworkExtension
Dorim să îi mulțumim lui Andrei-Alexandru Bleorțu pentru asistența acordată.
WebKit
Dorim să le mulțumim lui Mike Dougherty și Daniel White de la Google Chrome și unui cercetător anonim pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.