Om säkerhetsinnehållet i tvOS 26.3

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 26.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

tvOS 26.3

Bluetooth

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilt utformade Bluetooth-paket

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2026-20650: jioundai

CoreAudio

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20611: Anonym i samarbete med Trend Micro Zero Day Initiative

CoreMedia

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan få rotbehörigheter

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) på Iru

dyld

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare med skrivkapacitet till minne kan potentiellt köra opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats i ett mycket avancerat angrepp mot specifikt utvalda personer i iOS-versioner före iOS 26. CVE-2025-14174 och CVE-2025-43529 utfärdades också som svar på denna rapport.

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En användare kan visa känslig användarinformation

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-20649: Asaf Cohen

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-20675: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20634: George Karchemsky (@gkarchemsky) i samarbete med Trend Micro Zero Day Initiative

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-59375

Sandbox

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan bryta sig ut från sin sandlåda

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Ett integritetsfel åtgärdades med förbättrade kontroller.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20635: EntryHi

Ytterligare tack

Bluetooth

Vi vill tacka Tommaso Sacchetti för hjälpen.

Kernel

Vi vill tacka Joseph Ravichandran (@0xjprx) på MIT CSAIL och Xinru Chi på Pangu Lab för hjälpen.

libpthread

Vi vill tacka Fabiano Anemone för hjälpen.

NetworkExtension

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

Transparency

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog) för hjälpen.

WebKit

Vi vill tacka EntryHi, Luigino Camastra på Aisle Research, Stanislav Fort på Aisle Research, Vsevolod Kokorin (Slonser) på Solidlab och Jorian Woltjer för hjälpen.