Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 26.4

В этом документе описываются проблемы системы безопасности, устраняемые обновлением tvOS 26.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

tvOS 26.4

802.1X

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать сетевой трафик.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2026-28865: Héloïse Gollier и Mathy Vanhoef (Лёвенский католический университет)

Audio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-28879: Justin Cohen из Google

Audio

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2026-28822: Jex Amro

CoreMedia

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка аудиопотока во вредоносном медиафайле может привести к завершению процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2026-20690: Hossein Lotfi (@hosselot) из Trend Micro в рамках программы Zero Day Initiative

CoreUtils

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Пользователь с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2026-28886: Etienne Charron (Renault) и Victoria Martini (Renault)

Crash Reporter

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема конфиденциальности устранена путем удаления конфиденциальных данных.

CVE-2026-28878: Zhongcheng Li из отдела IES Red

curl

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. В компоненте curl обнаружена ошибка, которая может привести к непреднамеренной отправке конфиденциальной информации через некорректное соединение.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-14524

GeoServices

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с утечкой информации устранена путем внедрения дополнительной проверки.

CVE-2026-28870: XiguaSec

ImageIO

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2025-64505

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена с помощью улучшенной аутентификации.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может перечислять установленные пользователем приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2026-28882: Ilias Morad (A2nkF) из Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Переполнение стека устранено путем улучшенной проверки ввода.

CVE-2026-28852: Caspian Tarafdar

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2026-20665: webb

WebKit

Целевые продукты: Apple TV HD и Apple TV 4K (все модели)

Воздействие. Вредоносный веб-сайт может обрабатывать веб-содержимое с ограниченным доступом вне изолированной среды

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2026-28859: greenbynox, Arni Hardarson

Дополнительные благодарности

AirPort

Выражаем благодарность за помощь Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Выражаем благодарность за помощь Hamid Mahmoud.

Captive Network

Выражаем благодарность за помощь Kun Peeks (@SwayZGl1tZyyy).

CoreUI

Выражаем благодарность за помощь Peter Malone.

Find My

Выражаем благодарность за помощь Salemdomain.

GPU Drivers

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

ICU

Выражаем благодарность за помощь Jian Lee (@speedyfriend433).

Kernel

Выражаем благодарность за помощь DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville из Fuzzinglabs, Patrick Ventuzelo из Fuzzinglabs, Robert Tran, Suresh Sundaram.

libarchive

Выражаем благодарность за помощь Andreas Jaegersberger и Ro Achterberg из Nosebeard Labs, Arni Hardarson.

libc

Выражаем благодарность за помощь Vitaly Simonovich.

Libnotify

Выражаем благодарность за помощь Morad (@A2nkF_).

LLVM

Выражаем благодарность за помощь пользователю Nathaniel Oh (@calysteon).

Messages

Выражаем благодарность за помощь JZ.

MobileInstallation

Выражаем благодарность за помощь пользователю Gongyu Ma (@Mezone0).

ppp

Выражаем благодарность за помощь Dave G.

Quick Look

Выражаем благодарность за помощь Wojciech Regula из SecuRing (wojciechregula.blog) и анонимному исследователю.

Safari

Выражаем благодарность за помощь @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Выражаем благодарность за помощь Waleed Barakat (@WilDN00B) и Paul Montgomery (@nullevent).

Siri

Выражаем благодарность за помощь Anand Mallaya, технический консультант, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar, самозанятый.

Spotlight

Выражаем благодарность за помощь Bilge Kaan Mızrak, исследовательская группа по аналитике рисков компании Claude & Friends, Zack Tickman.

Time Zone

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия).

UIKit

Выражаем благодарность за помощь AEC, Abhay Kailasia (@abhay_kailasia) из Safran (Мумбай, Индия), , Bishal Kafle (@whoisbishal.k), Carlos Luna (Военно-морское министерство США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12.

Wallet

Выражаем благодарность за помощь пользователю Zhongcheng Li из отдела IES Red компании ByteDance.

Web Extensions

Выражаем благодарность за помощь Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Выражаем благодарность за помощь Vamshi Paili.

WebKit Process Model

Выражаем благодарность за помощь Joseph Semaan.

Wi-Fi

Выражаем благодарность за помощь пользователю Kun Peeks (@SwayZGl1tZyyy) и анонимному исследователю.

Wi-Fi Connectivity

Выражаем благодарность за помощь Alex Radocea из Supernetworks, Inc.

Widgets

Выражаем благодарность за помощь Marcel Voß, Mitul Pranjay, Serok Çelik.