Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.6

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 18.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 18.6

Дата выпуска: 29 июля 2025 г.

afclip

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43186: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CFNetwork

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs

CoreAudio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. При обработке вредоносного аудиофайла возможно повреждение памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43277: подразделение Threat Analysis Group компании Google

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43210: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia Playback

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем ввода дополнительных проверок разрешений.

CVE-2025-43230: Chi Yuan Chang из ZUSO ART и пользователь taikosoup

ICU

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43209: Gary Kwong в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

ImageIO

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43226

libxml2

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

CVE-2025-7425: Sergei Glazunov из подразделения Google Project Zero

libxslt

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-7424: Ivan Fratric из Google Project Zero

Metal

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.

CVE-2025-43234: Vlad Stolyarov из подразделения Threat Analysis Group компании Google

Model I/O

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43224: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43221: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Model I/O

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.

CVE-2025-31281: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 292888

CVE-2025-43227: Gilad Moav

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 291742

CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit Bugzilla: 291745

CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit Bugzilla: 293579

CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 292599

CVE-2025-43214: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative, Google V8 Security Team

WebKit Bugzilla: 292621

CVE-2025-43213: Google V8 Security Team

WebKit Bugzilla: 293197

CVE-2025-43212: Nan Wang (@eternalsakura13) и Ziling Chen

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 293730

CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

WebKit Bugzilla: 294182

CVE-2025-43265: HexRabbit (@h3xr4bb1t) из команды исследователей DEVCORE

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

WebKit Bugzilla: 295382

CVE-2025-43216: Ignacio Sanmillan (@ulexec)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.

WebKit Bugzilla: 296459

CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из Threat Analysis Group в Google

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь LIdong LI, Xiao Wang, Shao Dong Chen и Chao Tan из Source Guard.

CoreAudio

Выражаем благодарность за помощь Noah Weinberg.

libxml2

Выражаем благодарность за помощь Sergei Glazunov из подразделения Google Project Zero.

libxslt

Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.

WebKit

Выражаем благодарность за помощь Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei, rheza (@ginggilBesel).

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: