.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Om säkerhetsinnehållet i tvOS 26.5

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 26.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apple Product Security.

tvOS 26.5

Släpptes 11 maj 2026

Accelerate

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28991: Seiji Sakurai (@HeapSmasher)

APFS

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28959: Dave G.

App Intents

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app med skadligt innehåll kan bryta sig ut från sin sandlåda

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2026-28995: Vamshi Paili, Tony Gorez (@tonygo_) för Reverse Society

AppleJPEG

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2026-1837

AppleJPEG

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en mediefil med skadligt innehåll kanske kan leda till oväntat appavslut eller till korrupt processminne

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2026-28956: impost0r (ret2plt)

Audio

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Om du bearbetar en ljudstream i en skadlig mediefil kan det leda till att processen avslutas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-39869: David Ige på Beryllium Security

CoreSymbolication

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Tolkning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-28918: Niels Hofmans, anonym i samarbete med TrendAI Zero Day Initiative

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2026-43661: en anonym forskare

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntat appavslut

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2026-28977: Suresh Sundaram

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28990: Jiri Ha, Arni Hardarson

IOHIDFamily

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare kanske kan orsaka oväntat appavslut

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2026-28992: Johnny Franks (@zeroxjf)

IOHIDFamily

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan ta reda på schemat för kernelminnet

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28943: Google Threat Analysis Group

IOKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28969: Mihalis Haatainen, Ari Hawking, Ashish Kunwar

IOSurfaceAccelerator

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka en oväntad systemavstängning eller en läsning till kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43655: Somair Ansar och en anonym forskare

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43654: Vaagn Vardanian, Nathaniel Oh (@calysteon)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett buffertspill åtgärdades genom förbättrad indatavalidering.

CVE-2026-28897: popku1337, Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Robert Tran, Aswin kumar Gokulakannan

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2026-28972: Billy Jheng Bing Jhong och Pan Zhenpeng (@Peterpan0927) på STAR Labs SG Pte. Ltd., Ryan Hileman via Xint Code (xint.io)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28986: Chris Betz, Tristan Madani (@TristanInSec) från Talence Security, Ryan Hileman via Xint Code (xint.io)

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett loggningsproblem åtgärdades genom förbättrad redigering av data.

CVE-2026-28987: Dhiyanesh Selvaraj (@redroot97)

LaunchServices

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2026-28983: Ruslan Dautov

mDNSResponder

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-43653: Atul R V

mDNSResponder

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad validering.

CVE-2026-28985: Omar Cerrito

mDNSResponder

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-43668: Anton Pakhunov, Ricardo Prado

mDNSResponder

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare på det lokala nätverket kan orsaka ett DoS-angrepp

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2026-43666: Ian van der Wurff (ian.nl)

Model I/O

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadlig bild kan leda till korrupt processminne

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2026-28940: Michael DePlante (@izobashi) på TrendAI Zero Day Initiative

SceneKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En fjärrangripare kanske kan orsaka ett oväntat appavslut

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2026-28846: Peter Malone

Spotlight

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett DoS-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2026-28974: Andy Koo (@andykoo) på Hexens

Storage

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2026-28996: Alex Radocea

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

WebKit Bugzilla: 308906

CVE-2026-43660: Cantina

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 308675

CVE-2026-28907: Cantina

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 307669

CVE-2026-43658: Do Young Park

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 308545

CVE-2026-28905: Yuhao Hu, Yuanming Lai, Chenggang Wu och Zhe Wang

WebKit Bugzilla: 308707

CVE-2026-28847: DARKNAVY (@DarkNavyOrg), anonym i samarbete med TrendAI Zero Day Initiative, Daniel Rhea

WebKit Bugzilla: 309601

CVE-2026-28904: Luka Rački

WebKit Bugzilla: 310880

CVE-2026-28955: wac och Kookhwan Lee i samarbete med TrendAI Zero Day Initiative

WebKit Bugzilla: 310303

CVE-2026-28903: Mateusz Krzywicki (iVerify.io)

WebKit Bugzilla: 309628

CVE-2026-28953: Maher Azzouzi

WebKit Bugzilla: 309861

CVE-2026-28902: Tristan Madani (@TristanInSec) från Talence Security, Nathaniel Oh (@calysteon)

WebKit Bugzilla: 310207

CVE-2026-28901: Aisle offensive security research team (Joshua Rogers, Luigino Camastra, Igor Morgenstern och Guido Vranken), Maher Azzouzi, Ngan Nguyen på Calif.io

WebKit Bugzilla: 311631

CVE-2026-28913: en anonym forskare

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

WebKit Bugzilla: 313939

CVE-2026-28883: kwak kiyong/kakaogames

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 310527

CVE-2026-28917: Vitaly Simonovich

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Safari avslutas oväntat

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

WebKit Bugzilla: 310234

CVE-2026-28947: dr3dd

WebKit Bugzilla: 312180

CVE-2026-28942: Milad Nasr och Nicholas Carlini med Claude, Anthropic

Wi-Fi

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare i en privilegierad nätverksposition kanske kan utföra ett DoS-angrepp med hjälp av särskilt utformade wifi-paket

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2026-28994: Alex Radocea

zlib

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett informationsläckage åtgärdades med ytterligare validering.

CVE-2026-28920: Brendon Tiszka på Google Project Zero

Ytterligare tack

App Intents

Vi vill tacka Mikael Kinnman för hjälpen.

Apple Account

Vi vill tacka Iván Savransky, YingQi Shi (@Mas0nShi) på DBAppSecuritys WeBin lab för hjälpen.

AuthKit

Vi vill tacka Gongyu Ma (@Mezone0) för hjälpen.

CoreUI

Vi vill tacka Mustafa Calap för hjälpen.

ICU

Vi vill tacka en anonym forskare för hjälpen.

Kernel

Vi vill tacka Ryan Hileman via Xint Code (xint.io), Suresh Sundaram, en anonym forskare för hjälpen.

Libnotify

Vi vill tacka Ilias Morad (@A2nkF_) för hjälpen.

mDNSResponder

Vi vill tacka Jason Grove för hjälpen.

Siri

Vi vill tacka Yoav Magid för hjälpen.

WebKit

Vi vill tacka Vitaly Simonovich för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 15 maj 2026