Obsah zabezpečenia v systéme tvOS 26

V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 26.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

tvOS 26

Apple Neural Engine

Dostupné pre: Apple TV 4K (2. generácie alebo novšia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43344: anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43346: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

Bluetooth

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s protokolovaním, ktorý bol vyriešený vylepšením redigovania dát.

CVE-2025-43354: Csaba Fitzl (@theevilbit) z tímu Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) z tímu Kandji

CoreAudio

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2025-43349: @zlluny v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreMedia

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie mediálneho súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k poškodeniu pamäti procesu

Popis: Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2025-43372: 이동하 (Lee Dong Ha) z tímu SSA Lab

IOHIDFamily

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2025-43302: Keisuke Hosoda

IOKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-31255: Csaba Fitzl (@theevilbit) z tímu Kandji

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Soket UDP servera spojený s lokálnym rozhraním môže byť spojený so všetkými rozhraniami

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2025-43359: Viktor Oreshkin

MobileStorageMounter

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43355: Dawuge z tímu Shuffle Team

Sandbox

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2025-43329: anonymný výskumník

SQLite

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru môže viesť k poškodeniu pamäte

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-6965

System

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Riešil sa problém s overovaním vstupov

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Webová stránka môže byť schopná získať prístup k informáciám zo senzorov bez súhlasu používateľa

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2025-43356: Jaydev Ahire

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2025-43343: anonymný výskumník

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Problém so správnosťou bol vyriešený vylepšením kontrol.

CVE-2025-43342: anonymný výskumník

Ďalšie poďakovanie

Accounts

Poďakovanie za pomoc si zaslúži 要乐奈.

AuthKit

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

CFNetwork

Poďakovanie za pomoc si zaslúži Christian Kohlschütter.

CloudKit

Poďakovanie za pomoc si zaslúži Yinyi Wu (@_3ndy1) z tímu Dawn Security Lab spoločnosti JD.com, Inc.

CoreMedia

Poďakovanie za pomoc si zaslúži Noah Gregory (wts.dev).

darwinOS

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Foundation

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Kandji.

ImageIO

Poďakovanie za pomoc si zaslúžia DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) z tímu Enki WhiteHat.

Kernel

Poďakovanie za pomoc si zaslúžia Yepeng Pan a Prof. Dr. Christian Rossow.

libc

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libpthread

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

libxml2

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

mDNSResponder

Poďakovanie za pomoc si zaslúži Barrett Lyon.

MediaRemote

Poďakovanie za pomoc si zaslúži Dora Orak.

Sandbox Profiles

Poďakovanie za pomoc si zaslúži Rosyna Keller z tímu Totally Not Malicious Software.

Transparency

Poďakovanie za pomoc si zaslúžia Wojciech Regula (wojciechregula.blog) zo spoločnosti SecuRing a 要乐奈.

WebKit

Poďakovanie za pomoc si zaslúžia Bob Lord, Matthew Liang a Mike Cardwell z tímu grepular.com.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Aobo Wang (@M4x_1997) a Csaba Fitzl (@theevilbit) z tímu Kandji, Noah Gregory (wts.dev), Wojciech Regula z tímu SecuRing (wojciechregula.blog) a anonymný výskumník.