Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 26.2
В этом документе описаны проблемы системы безопасности, устраняемые обновлением tvOS 26.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
tvOS 26.2
Выпущено 12 декабря 2025 г.
AppleJPEG
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке файла возможно повреждение памяти.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2025-43539: Michael Reeves (@IntegralPilot)
curl
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обнаружен ряд проблем в curl.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-7264
CVE-2025-9086
Foundation
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносных данных может приводить к неожиданному прекращению работы приложения.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки границ.
CVE-2025-43532: Andrew Calvano и Lucas Pinheiro из отдела безопасности продуктов Meta
Icons
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может выявлять другие приложения, установленные пользователем.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2025-46279: Duy Trần (@khanhduytran0)
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Проблема целочисленного переполнения устранена путем внедрения 64-разрядных меток времени.
CVE-2025-46285: Kaitao Xie и Xiaolong Bai из Alibaba Group
Multi-Touch
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносное HID-устройство может вызвать неожиданное завершение процесса.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения проверки ввода.
CVE-2025-43533: подразделение Threat Analysis Group компании Google
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Условие состязания устранено путем улучшения обработки состояний.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo из Epic Games
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-14174.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 302502
CVE-2025-43529: подразделение Threat Analysis Group компании Google
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти. Компании Apple известно о том, что этой проблемой могли воспользоваться в ходе крайне сложной адресной атаки на конкретных пользователей с версиями iOS, выпущенными до iOS 26. По итогам этого отчета также была опубликована уязвимость CVE-2025-43529.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
WebKit Bugzilla: 303614
CVE-2025-14174: подразделения Threat Analysis Group компаний Apple и Google
Дополнительные благодарности
AppleMobileFileIntegrity
Выражаем благодарность за помощь анонимному исследователю.
AppSandbox
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Core Services
Выражаем благодарность за помощь Golden Helm Securities.
WebKit
Выражаем благодарность за помощь Geva Nurgandi Syahputra (gevakun).
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.