Om säkerhetsinnehållet i tvOS 26.4

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 26.4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

tvOS 26.4

802.1X

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2026-28865: Héloïse Gollier och Mathy Vanhoef (KU Leuven)

Audio

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2026-28879: Justin Cohen på Google

Audio

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2026-28822: Jex Amro

CoreMedia

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-20690: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

CoreUtils

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En användare i en behörig nätverksposition kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28886: Etienne Charron (Renault) och Victoria Martini (Renault)

Crash Reporter

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Ett integritetsproblem åtgärdades genom borttagning av känsliga data.

CVE-2026-28878: Zhongcheng Li från IES Red Team

curl

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: På grund av ett problem i curl kunde känslig information oavsiktligt skickas via en felaktig anslutning

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-14524

GeoServices

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28870: XiguaSec

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2025-64505

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet åtgärdades med förbättrad autentisering.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka oväntat systemavslut eller att kernelminnet blir korrupt

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kanske räkna en användares installerade appar

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2026-28882: Ilias Morad (A2nkF) på Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan ta fingeravtryck på användaren

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28852: Caspian Tarafdar

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2026-20665: webb

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En webbplats med skadligt innehåll kanske kan bearbeta begränsat webbinnehåll utanför sandlådan

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28859: greenbynox, Arni Hardarson

Ytterligare tack

AirPort

Vi vill tacka Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii för hjälpen.

Bluetooth

Vi vill tacka Hamid Mahmoud för hjälpen.

Captive Network

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy) för hjälpen.

CoreUI

Vi vill tacka Peter Malone för hjälpen.

Find My

Vi vill tacka Salemdomain för hjälpen.

GPU Drivers

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

ICU

Vi vill tacka Jian Lee (@speedyfriend433) för hjälpen.

Kernel

Vi vill tacka DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville från Fuzzinglabs, Patrick Ventuzelo från Fuzzinglabs, Robert Tran, Suresh Sundaram för hjälpen.

libarchive

Vi vill tacka Andreas Jaegersberger och Ro Achterberg på Nosebeard Labs, Arni Hardarson för hjälpen.

libc

Vi vill tacka Vitaly Simonovich för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

LLVM

Vi vill tacka Nathaniel Oh (@calysteon) för hjälpen.

Messages

Vi vill tacka JZ för hjälpen.

MobileInstallation

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

ppp

Vi vill tacka Dave G. för hjälpen.

Quick Look

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog), en anonym forskare för hjälpen.

Safari

Vi vill tacka @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair för hjälpen.

Shortcuts

Vi vill tacka Waleed Barakat (@WilDN00B) och Paul Montgomery (@nullevent) för hjälpen.

Siri

Vi vill tacka Anand Mallaya, Tech consultant, Anand Mallaya och partner, Harsh Kirdolia, Hrishikesh Parmar egenföretagare för hjälpen.

Spotlight

Vi vill tacka Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman för hjälpen.

Time Zone

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Safran Mumbai India för hjälpen.

UIKit

Vi vill tacka AEC, Abhay Kailasia (@abhay_kailasia) från Safran Mumbai Indien, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp för hjälpen.

Wallet

Vi vill tacka Zhongcheng Li från IES Red Team på ByteDance för hjälpen.

Web Extensions

Vi vill tacka Carlos Jeurissen, Rob Wu (robwu.nl) för hjälpen.

WebKit

Vi vill tacka Vamshi Paili för hjälpen.

WebKit Process Model

Vi vill tacka Joseph Semaan för hjälpen.

Wi-Fi

Vi vill tacka Kun Peeks (@SwayZGl1tZyyy), en anonym forskare för hjälpen.

Wi-Fi Connectivity

Vi vill tacka Alex Radocea på Supernetworks, Inc för hjälpen.

Widgets

Vi vill tacka Marcel Voß, Mitul Pranjay, Serok Çelik för hjälpen.