Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 26.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 26.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 26.1

Apple Neural Engine

Целевые продукты: Apple TV 4K (2-го поколения и более поздние модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43462: анонимный исследователь

AppleMobileFileIntegrity

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к защищенным пользовательским данным.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена с помощью улучшенных разрешений.

CVE-2025-43407: JZ

CloudKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2025-43448: Hikerell (из Loadshine Lab)

CoreServices

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43436: Zhongcheng Li из отдела IES Red компании ByteDance

CoreText

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2025-43445: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

FontParser

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного шрифта может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43400: Apple

Installer

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2025-43444: Zhongcheng Li из отдела IES Red компании ByteDance

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение в «песочнице» может получить возможность наблюдать за сетевыми подключениями на уровне всей системы.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2025-43413: Dave G. и Alex Radocea из supernetworks.org

MallocStackLogging

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. При обработке переменных среды возникала ошибка. Проблема устранена путем улучшения процедуры проверки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного медиафайла может приводить к неожиданному завершению работы приложения или повреждению памяти процессов.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2025-43386: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2025-43480: Aleksejs Popovs

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: Google Big Sleep

CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок.

CVE-2025-43443: анонимный исследователь

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43441: rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen из Google

CVE-2025-43425: анонимный исследователь

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения проверок

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2025-43433: Google Big Sleep

CVE-2025-43431: Google Big Sleep

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2025-43432: Hossein Lotfi (@hosselot) в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2025-43429: Google Big Sleep

WebKit Canvas

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Веб-сайт может извлекать данные изображений из различных источников.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2025-43392: Tom Van Goethem

Дополнительные благодарности

MobileInstallation

Благодарим за помощь Bubble Zhang.

WebKit

Благодарим за помощь Enis Maholli (enismaholli.com) и отдел Google Big Sleep.