Despre conținutul de securitate din tvOS 26.3

Acest document descrie conținutul de securitate din tvOS 26.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

tvOS 26.3

Bluetooth

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea să efectueze un atac de refuzare a serviciului folosind pachete Bluetooth create cu rea intenție

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2026-20650: jioundai

CoreAudio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-20611: anonim, în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea gestionării stării.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) de la Iru

dyld

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator care are posibilitatea de scriere în memorie ar putea executa cod arbitrar. Apple este la curent cu un raport conform căruia este posibil ca această problemă să fi fost exploatată într-un atac extrem de sofisticat împotriva anumitor persoane vizate pe versiuni iOS anterioare versiunii iOS 26. CVE-2025-14174 și CVE-2025-43529 au fost, de asemenea, publicate ca răspuns la acest raport.

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: se poate ca un utilizator să vizualizeze informații sensibile despre utilizatori

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-20649: Asaf Cohen

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-20675: George Karchemsky (@gkarchemsky) în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20634: George Karchemsky (@gkarchemsky) în colaborare cu Trend Micro Zero Day Initiative

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2025-59375

Sandbox

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-20635: EntryHi

Alte mențiuni

Bluetooth

Dorim să îi mulțumim lui Tommaso Sacchetti pentru asistență.

Kernel

Dorim să îi mulțumim lui Joseph Ravichandran (@0xjprx) de la MIT CSAIL și lui Xinru Chi de la Pangu Lab pentru asistență.

libpthread

Dorim să îi mulțumim lui Fabiano Anemone pentru asistență.

NetworkExtension

Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.

Transparency

Dorim să-i mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) pentru asistență.

WebKit

Dorim să le mulțumim lui EntryHi, Luigino Camastra de la Aisle Research, lui Stanislav Fort de la Aisle Research, lui Vsevolod Kokorin (Slonser) de la Solidlab și lui Jorian Woltjer pentru asistență.