Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 18.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 18.3

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник в локальной сети может вызывать неожиданное завершение работы системы или повреждать память процесса.

Описание. Устранена проблема, связанная с проверкой ввода.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник с привилегированным положением может вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник может удаленно выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета

CoreAudio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24160: подразделение Threat Analysis Group компании Google

CVE-2025-24161: подразделение Threat Analysis Group компании Google

CVE-2025-24163: подразделение Threat Analysis Group компании Google

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносное приложение может повышать уровень привилегий. Apple известно о том, что эта проблема могла активно использоваться в версиях iOS, выпущенных до iOS 17.2.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-24085

ImageIO

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносное приложение может получать привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24107: анонимный исследователь

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2025-24159: pattern-f (@pattern_F_)

SceneKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global (Сингапур)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24162: linjy из HKUS3Lab и chluo of WHUSecLab

Дополнительные благодарности

Аудио

Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.

CoreAudio

Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.

CoreMedia Playback

Выражаем благодарность за помощь Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI).

Passwords

Выражаем благодарность за помощь Talal Haj Bakry и Tommy Mysk из Mysk Inc. @mysk_co.

Static Linker

Выражаем благодарность за помощь Holger Fuhrmannek.