Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 26.4
В этом документе описываются проблемы системы безопасности, устраняемые обновлением tvOS 26.4.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
tvOS 26.4
Выпущено 24 марта 2026 г.
802.1X
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2026-28865: Héloïse Gollier и Mathy Vanhoef (KU Leuven)
Audio
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2026-28879: Justin Cohen из Google
Audio
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2026-28822: Jex Amro
CoreMedia
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2026-20690: Hossein Lotfi (@hosselot), сотрудничающий с компанией TrendAI в рамках программы Zero Day Initiative
Запись обновлена 11 мая 2026 г.
CoreUtils
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.
CVE-2026-28886: Etienne Charron (Renault) и Victoria Martini (Renault)
Crash Reporter
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может перечислять установленные пользователем приложения.
Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.
CVE-2026-28878: Zhongcheng Li из отдела IES Red
curl
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обнаружена проблема в curl, которая может привести к случайной отправке конфиденциальных данных по неправильному подключению.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2025-14524
GeoServices
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.
CVE-2026-28870: XiguaSec
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2025-64505
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема устранена с помощью улучшенной аутентификации.
CVE-2026-28867: Jian Lee (@speedyfriend433)
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2026-20698: DARKNAVY (@DarkNavyOrg)
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2026-20687: Johnny Franks (@zeroxjf)
libxpc
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может перечислять установленные пользователем приложения.
Описание. Проблема устранена путем улучшения проверок.
CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) из Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack
Запись обновлена 11 мая 2026 г.
Sandbox Profiles
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2026-28863: Gongyu Ma (@Mezone0)
Security
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Локальный злоумышленник может изменять состояние связки ключей.
Описание. Проблема устранена путем улучшения проверки ввода.
CVE-2026-28860: Alex Radocea
Запись добавлена 11 мая 2026 г.
UIFoundation
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Переполнение стека устранено путем улучшенной проверки ввода.
CVE-2026-28852: Caspian Tarafdar
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 304951
CVE-2026-20665: webb
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносный веб-сайт может обрабатывать онлайн-контент с ограниченным доступом за границами песочницы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 308248
CVE-2026-28859: greenbynox, Arni Hardarson и анонимный исследователь
Запись обновлена 11 мая 2026 г.
Дополнительные благодарности
AirPort
Выражаем благодарность за помощь Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.
Bluetooth
Выражаем благодарность за помощь Hamid Mahmoud.
Captive Network
Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).
CoreUI
Выражаем благодарность за помощь Peter Malone.
Find My
Выражаем благодарность за помощь Salemdomain.
GPU Drivers
Выражаем благодарность за помощь Jian Lee (@speedyfriend433).
ICU
Выражаем благодарность за помощь Jian Lee (@speedyfriend433).
Kernel
Выражаем благодарность за помощь Adam Doupé из ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville из Fuzzinglabs, Patrick Ventuzelo из Fuzzinglabs, Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec) из Talence Security.
Запись обновлена 11 мая 2026 г.
libarchive
Выражаем благодарность за помощь Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs, Arni Hardarson.
libc
Выражаем благодарность за помощь Vitaly Simonovich (vitalysim.com).
Запись обновлена 11 мая 2026 г.
Libnotify
Выражаем благодарность за помощь Ilias Morad (@A2nkF_).
LLVM
Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).
Messages
Выражаем благодарность за помощь JZ.
MobileInstallation
Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).
ppp
Выражаем благодарность за помощь Dave G.
Quick Look
Выражаем благодарность за помощь Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.
Safari
Выражаем благодарность за помощь @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.
Shortcuts
Выражаем благодарность за помощь Waleed Barakat (@WilDN00B) и Paul Montgomery (@nullevent).
Siri
Выражаем благодарность за помощь Anand Mallaya, консультанту по технологиям из Anand Mallaya and Co., Harsh Kirdolia, независимому специалисту Hrishikesh Parmar.
Spotlight
Выражаем благодарность за помощь Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.
Time Zone
Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).
UIKit
Выражаем благодарность за помощь AEC, Abhay Kailasia (@abhay_kailasia) из Safran, Индия (Мумбаи), Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (Военно-морское министерство США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 и incredincomp.
Запись обновлена 11 мая 2026 г.
Wallet
Выражаем благодарность за помощь пользователю Zhongcheng Li из отдела IES Red компании ByteDance.
Web Extensions
Выражаем благодарность за помощь Carlos Jeurissen, Rob Wu (robwu.nl).
WebKit
Выражаем благодарность за помощь Vamshi Paili.
WebKit Process Model
Выражаем благодарность за помощь Joseph Semaan.
Wi-Fi
Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy) и анонимному исследователю.
Wi-Fi Connectivity
Выражаем благодарность за помощь Alex Radocea из Supernetworks, Inc.
Widgets
Выражаем благодарность за помощь Marcel Voß, Mitul Pranjay, Serok Çelik.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.