Despre conținutul de securitate din tvOS 26.5

Acest document descrie conținutul de securitate din tvOS 26.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

tvOS 26.5

Accelerate

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28959: Dave G.

App Intents

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău-intenționată poate evada din sandbox

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) pentru Reverse Society

AppleJPEG

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la cve.org.

CVE-2026-1837

AppleJPEG

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui fișier media creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau coruperea memoriei

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2026-28956: impost0r (ret2plt)

Audio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui flux audio într-un fișier media creat cu rea intenție poate duce la încetarea procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-39869: David Ige de la Beryllium Security

CoreSymbolication

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: Analizarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-28918: Niels Hofmans, anonim în colaborare cu TrendAI Zero Day Initiative

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2026-43661: un cercetător anonim

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2026-28977: Suresh Sundaram

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate determina aspectul memoriei kernel

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate citi memoria kernel

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-43655: Somair Ansar și un cercetător anonim

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a fost rezolvată o problemă de depășire a memorie tampon alocate prin îmbunătățirea validării intrării.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2026-28972: Billy Jheng Bing Jhong și Pan Zhenpeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) de la Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: o problemă de login a fost rezolvată prin îmbunătățirea redactării datelor.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43653: Atul R V

mDNSResponder

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de anulare a referinței pentru pointerul nul cu îmbunătățirea validării.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală ar putea fi capabil să provoace o refuzare a serviciului

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini create cu rea intenție poate corupe memoria de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28940: Michael DePlante (@izobashi) de la TrendAI Zero Day Initiative

SceneKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a aplicației

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2026-28846: Peter Malone

Spotlight

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2026-28974: Andy Koo (@andykoo) de la Hexens

Storage

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2026-28996: Alex Radocea

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2026-43660: Cantina

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2026-28907: Cantina

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-43658: Do Young Park

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu și Zhe Wang

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonim în colaborare cu TrendAI Zero Day Initiative, Daniel Rhea

CVE-2026-28904: Luka Rački

CVE-2026-28955: wac și Kookhwan Lee în colaborare cu TrendAI Zero Day Initiative

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

CVE-2026-28953: Maher Azzouzi

CVE-2026-28902: Tristan Madani (@TristanInSec) de la Talence Security, Nathaniel Oh (@calysteon)

CVE-2026-28901: Echipa de cercetare a securității ofensive Aisle (Joshua Rogers, Luigino Camastra, Igor Morgenstern și Guido Vranken), Maher Azzouzi, Ngan Nguyen de la Calif.io

CVE-2026-28913: un cercetător anonim

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28883: kwak kiyong / kakaogames

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin validarea îmbunătățită a intrărilor.

CVE-2026-28917: Vitaly Simonovich

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a browserului Safari

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28947: dr3dd

CVE-2026-28942: Milad Nasr și Nicholas Carlini cu Claude, Anthropic

Wi-Fi

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea să efectueze un atac de refuzare a serviciului folosind pachete Wi-Fi create cu rea intenție

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2026-28994: Alex Radocea

zlib

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile

Descriere: o scurgere de informații a fost remediată prin validare suplimentare.

CVE-2026-28920: Brendon Tiszka de la Google Project Zero

Alte mențiuni

App Intents

Dorim să îi mulțumim lui Mikael Kinnman pentru asistența acordată.

Apple Account

Dorim să îi mulțumim lui Iván Savransky, lui YingQi Shi (@Mas0nShi) de la WeBin lab DBAppSecurity pentru asistența acordată.

AuthKit

Dorim să îi mulțumim lui Gongyu Ma (@Mezone0) pentru asistență.

CoreUI

Dorim să îi mulțumim lui Mustafa Calap pentru asistența acordată.

ICU

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Kernel

Dorim să îi mulțumim lui Ryan Hileman via Xint Code (xint.io), lui Suresh Sundaram, unui cercetător anonim pentru asistența acordată.

Libnotify

Dorim să îi mulțumim lui Ilias Morad (@A2nkF_) pentru asistența acordată.

mDNSResponder

Dorim să îi mulțumim lui Jason Grove pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Yoav Magid pentru asistența acordată.

WebKit

Dorim să îi mulțumim lui Vitaly Simonovich pentru asistența acordată.