Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.6
В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 18.6.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
tvOS 18.6
Дата выпуска: 29 июля 2025 г.
afclip
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Анализ файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-43186: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CFNetwork
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Непривилегированный пользователь может изменять настройки ограничения доступа к сети.
Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.
CVE-2025-43223: Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs
CoreAudio
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке вредоносного аудиофайла возможно повреждение памяти.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2025-43277: подразделение Threat Analysis Group компании Google
CoreMedia
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-43210: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CoreMedia Playback
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2025-43230: Chi Yuan Chang из ZUSO ART и пользователь taikosoup
ICU
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-43209: Gary Kwong в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2025-43226
libxml2
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке файла возможно повреждение памяти.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.
CVE-2025-7425: Sergei Glazunov из подразделения Google Project Zero
libxslt
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2025-7424: Ivan Fratric из Google Project Zero
Metal
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносной текстуры может приводить к неожиданному завершению работы приложения.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.
CVE-2025-43234: Vlad Stolyarov из подразделения Threat Analysis Group компании Google
Model I/O
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2025-43224: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
CVE-2025-43221: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Model I/O
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.
CVE-2025-31281: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 292888
CVE-2025-43227: Gilad Moav
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 291742
CVE-2025-31278: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei
WebKit Bugzilla: 291745
CVE-2025-31277: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei
WebKit Bugzilla: 293579
CVE-2025-31273: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 292599
CVE-2025-43214: shandikri в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative, Google V8 Security Team
WebKit Bugzilla: 292621
CVE-2025-43213: Google V8 Security Team
WebKit Bugzilla: 293197
CVE-2025-43212: Nan Wang (@eternalsakura13) и Ziling Chen
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 293730
CVE-2025-43211: Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 294182
CVE-2025-43265: HexRabbit (@h3xr4bb1t) из команды исследователей DEVCORE
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 295382
CVE-2025-43216: Ignacio Sanmillan (@ulexec)
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою Safari.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на сайте cve.org.
WebKit Bugzilla: 296459
CVE-2025-6558: Clément Lecigne и Vlad Stolyarov из Threat Analysis Group в Google
Дополнительные благодарности
Bluetooth
Выражаем благодарность за помощь LIdong LI, Xiao Wang, Shao Dong Chen и Chao Tan из Source Guard.
CoreAudio
Выражаем благодарность за помощь Noah Weinberg.
libxml2
Выражаем благодарность за помощь Sergei Glazunov из подразделения Google Project Zero.
libxslt
Выражаем благодарность за помощь Ivan Fratric из подразделения Google Project Zero.
WebKit
Выражаем благодарность за помощь Google V8 Security Team, Yuhao Hu, Yan Kang, Chenggang Wu и Xiaojie Wei, rheza (@ginggilBesel).
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.