Obsah zabezpečenia v systéme tvOS 26.4

V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 26.4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

tvOS 26.4

802.1X

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať sieťové prenosy

Popis: Dochádzalo k problému s autentifikáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2026-28865: Héloïse Gollier a Mathy Vanhoef (KU Leuven)

Audio

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-28879: Justin Cohen zo spoločnosti Google

Audio

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28822: Jex Amro

CoreMedia

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie zvukového streamu v mediálnom súbore so škodlivým kódom môže mať za následok ukončenie procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2026-20690: Hossein Lotfi (@hosselot) z projektu Zero Day Initiative spoločnosti Trend Micro

CoreUtils

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28886: Etienne Charron (Renault) a Victoria Martini (Renault)

Crash Reporter

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Opis: Problém s ochranou súkromia sa vyriešil odstránením citlivých údajov.

CVE-2026-28878: Zhongcheng Li z tímu IES Red Team

curl

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: V komponente curl sa vyskytoval problém, ktorý mohol spôsobiť neúmyselné odoslanie citlivých informácií prostredníctvom nesprávneho pripojenia

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-14524

GeoServices

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený dodatočným overovaním.

CVE-2026-28870: XiguaSec

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Opis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2025-64505

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dosah: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná vymenovať nainštalované apky používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2026-28882: Ilias Morad (A2nkF) z tímu Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná vytvoriť jedinečnú identitu používateľa

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2026-20665: webb

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Webová stránka so škodlivým kódom môže byť schopná spracúvať obmedzený webový obsah z oblasti mimo sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2026-28859: greenbynox, Arni Hardarson

Ďalšie poďakovanie

AirPort

Poďakovanie za pomoc si zaslúžia Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari a Omid Rezaii.

Bluetooth

Poďakovanie za pomoc si zaslúži Hamid Mahmoud.

Captive Network

Poďakovanie za pomoc si zaslúži Kun Peeks (@SwayZGl1tZyyy).

CoreUI

Poďakovanie za pomoc si zaslúži Peter Malone.

Find My

Poďakovanie za pomoc si zaslúži Salemdomain.

GPU Drivers

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

ICU

Poďakovanie za pomoc si zaslúži Jian Lee (@speedyfriend433).

Kernel

Poďakovanie za pomoc si zaslúžia DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville z tímu Fuzzinglabs, Patrick Ventuzelo z tímu Fuzzinglabs, Robert Tran a Suresh Sundaram.

libarchive

Poďakovanie za pomoc si zaslúžia Andreas Jaegersberger a Ro Achterberg z tímu Nosebeard Labs a Arni Hardarson.

libc

Poďakovanie za pomoc si zaslúži Vitaly Simonovich.

Libnotify

Poďakovanie za pomoc si zaslúži Ilias Morad (@A2nkF_).

LLVM

Poďakovanie za pomoc si zaslúži Nathaniel Oh (@calysteon).

Messages

Poďakovanie za pomoc si zaslúži JZ.

MobileInstallation

Poďakovanie za pomoc si zaslúži Gongyu Ma (@Mezone0).

ppp

Poďakovanie za pomoc si zaslúži Dave G.

Quick Look

Poďakovanie za pomoc si zaslúžia Wojciech Regula zo spoločnosti SecuRing (wojciechregula.blog) a anonymný výskumník.

Safari

Poďakovanie za pomoc si zaslúžia @RenwaX23, Farras Givari, Syarif Muhammad Sajjad a Yair.

Shortcuts

Poďakovanie za pomoc si zaslúžia Waleed Barakat (@WilDN00B) a Paul Montgomery (@nullevent).

Siri

Poďakovanie za pomoc si zaslúžia Anand Mallaya, technický konzultant zo spoločnosti Anand Mallaya and Co., Harsh Kirdolia a Hrishikesh Parmar na voľnej nohe.

Spotlight

Poďakovanie za pomoc si zaslúžia Bilge Kaan Mızrak, Claude a priatelia z tímu Risk Analytics Research Group a Zack Tickman.

Time Zone

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) zo Safranu, Bombaj, India.

UIKit

Poďakovanie za pomoc si zaslúžia AEC, Abhay Kailasia (@abhay_kailasia) zo Safranu v Bombaji v Indii, Bishal Kafle (@whoisbishal.k), Carlos Luna (Ministerstvo námorníctva USA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12 a incredincomp.

Wallet

Poďakovanie za pomoc si zaslúži Zhongcheng Li z tímu IES Red Team zo spoločnosti ByteDance.

Web Extensions

Poďakovanie za pomoc si zaslúžia Carlos Jeurissen a Rob Wu (robwu.nl).

WebKit

Poďakovanie za pomoc si zaslúži Vamshi Paili.

WebKit Process Model

Poďakovanie za pomoc si zaslúži Joseph Semaan.

Wi-Fi

Poďakovanie za pomoc si zaslúžia Kun Peeks (@SwayZGl1tZyyy) a anonymný výskumník.

Wi-Fi Connectivity

Poďakovanie za pomoc si zaslúži Alex Radocea zo spoločnosti Supernetworks, Inc.

Widgets

Poďakovanie za pomoc si zaslúžia Marcel Voß, Mitul Pranjay a Serok Çelik.