Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 18.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 18.3

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может повредить память процессов.

Описание. Устранена проблема, связанная с проверкой ввода.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, находящийся в локальной сети, может повредить память процессов.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu и Xingwei Lin из Чжэцзянского университета

CoreAudio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24160: подразделение Threat Analysis Group компании Google

CVE-2025-24161: подразделение Threat Analysis Group компании Google

CVE-2025-24163: подразделение Threat Analysis Group компании Google

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24123: Desmond в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-24124: Pwn2car и Rotiple (HyeongSeok Jang) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносное приложение может повысить уровень привилегий. Apple известно о том, что эта проблема могла активно использоваться в версиях iOS, выпущенных до iOS 17.2.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-24085

CoreMedia Playback

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24184: Song Hyun Bae (@bshyuunn) и Lee Dong Ha (Who4mI)

Display

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2025-24111: Wang Yu из CyberServal

ImageIO

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24086: DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat, D4m0n

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема утечки информации решена посредством удаления уязвимого кода.

CVE-2025-24144: Mateusz Krzywicki (@krzywix)

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносное приложение может получать привилегии пользователя root.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-24107: анонимный исследователь

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2025-24159: pattern-f (@pattern_F_)

libxslt

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-55549: Ivan Fratric из Google Project Zero

CVE-2025-24855: Ivan Fratric из Google Project Zero

PackageKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-31262: Mickey Jin (@patch1t)

SceneKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-24149: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-24189: анонимный исследователь

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-24158: Q1IQ (@q1iqF) из NUS CuriOSity и P1umer (@p1umer) из Imperial Global (Сингапур)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-24162: linjy из HKUS3Lab и chluo of WHUSecLab

Дополнительные благодарности

Audio

Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.

CoreAudio

Выражаем благодарность за помощь подразделению Threat Analysis Group компании Google.

iCloud

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина (Бхопал, Индия), George Kovaios и Srijan Poudel.

Passwords

Выражаем благодарность за помощь Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co).

Static Linker

Выражаем благодарность за помощь Holger Fuhrmannek.