Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 26

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 26.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 26

Apple Neural Engine

Целевые продукты: Apple TV 4K (2-го поколения и более поздние модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43344: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43346: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

Bluetooth

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с ведением журнала устранена путем улучшения скрытия данных.

CVE-2025-43354: Csaba Fitzl (@theevilbit) из Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) из Kandji

CoreAudio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного видеофайла может приводить к неожиданному завершению работы приложения.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43349: @zlluny в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема устранена путем улучшения проверки ввода.

CVE-2025-43372: 이동하 (Lee Dong Ha) из SSA Lab

IOHIDFamily

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43302: Keisuke Hosoda

IOKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2025-31255: Csaba Fitzl (@theevilbit) из Kandji

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Сокет сервера UDP, привязанный к локальному интерфейсу, может стать привязанным ко всем интерфейсам.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2025-43355: Dawuge из Shuffle Team

Sandbox

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43329: анонимный исследователь

SQLite

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. При обработке файла возможно повреждение памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-6965

System

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Устранена проблема, связанная с проверкой ввода.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever) и Luke Roberts (@rookuu)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Веб-сайт может получать доступ к данным датчиков без согласия пользователя.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43356: Jaydev Ahire

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43343: анонимный исследователь

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с правильностью устранена путем улучшения проверок.

CVE-2025-43342: анонимный исследователь

Дополнительные благодарности

Accounts

Выражаем благодарность за помощь пользователю 要乐奈.

AuthKit

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

CFNetwork

Выражаем благодарность за помощь пользователю Christian Kohlschütter.

CloudKit

Выражаем благодарность за помощь пользователю Yinyi Wu (@_3ndy1) из Dawn Security Lab компании JD.com.

CoreMedia

Выражаем благодарность за помощь пользователю Noah Gregory (wts.dev).

darwinOS

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Foundation

Выражаем благодарность за помощь Csaba Fitzl (@theevilbit) из Kandji.

ImageIO

Выражаем благодарность за помощь пользователям DongJun Kim (@smlijun) и JongSeong Kim (@nevul37) из Enki WhiteHat.

Kernel

Выражаем благодарность за помощь пользователям Yepeng Pan и Prof. Dr. Christian Rossow.

libc

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libpthread

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

libxml2

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

mDNSResponder

Выражаем благодарность за помощь пользователю Barrett Lyon.

MediaRemote

Выражаем благодарность за помощь пользователю Dora Orak.

Sandbox Profiles

Выражаем благодарность за помощь пользователю Rosyna Keller из Totally Not Malicious Software.

Transparency

Выражаем благодарность за помощь пользователям Wojciech Regula из SecuRing (wojciechregula.blog) и 要乐奈.

WebKit

Выражаем благодарность за помощь пользователям Bob Lord, Matthew Liang и Mike Cardwell из grepular.com.

Wi-Fi

Выражаем благодарность за помощь пользователям Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) из Kandji, Noah Gregory (wts.dev), Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.