เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 26.1
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 26.1
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 26.1
เปิดตัวเมื่อวันที่ 3 พฤศจิกายน 2025
Apple Neural Engine
มีให้สำหรับ: Apple TV 4K (รุ่นที่ 2 และใหม่กว่า)
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43462: นักวิจัยนิรนาม
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2025-43379: Gergely Kalman (@gergely_kalman)
Assets
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2025-43407: JZ
CloudKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2025-43448: Hikerell (Loadshine Lab)
CoreServices
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43436: Zhongcheng Li จาก IES Red Team ของ ByteDance
CoreText
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43445: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
FontParser
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43400: Apple
Installer
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2025-43444: Zhongcheng Li จาก IES Red Team ของ ByteDance
Kernel
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2025-43398: Cristian Dinca (icmd.tech)
libxpc
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปในแซนด์บ็อกซ์อาจดูการเชื่อมต่อเครือข่ายทั้งระบบได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดแซนด์บ็อกซ์
CVE-2025-43413: Dave G. และ Alex Radocea จาก supernetworks.org
MallocStackLogging
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2025-43294: Gergely Kalman (@gergely_kalman)
Model I/O
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดหรือหน่วยความจำของกระบวนการเสียหายโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2025-43386: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43385: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43384: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CVE-2025-43383: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 276208
CVE-2025-43480: Aleksejs Popovs
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
WebKit Bugzilla: 296693
CVE-2025-43458: Phil Beauvoir
WebKit Bugzilla: 298196
CVE-2025-43430: Big Sleep ของ Google
WebKit Bugzilla: 298628
CVE-2025-43427: Gary Kwong, rheza (@ginggilBesel)
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 299843
CVE-2025-43443: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 298496
CVE-2025-43441: rheza (@ginggilBesel)
WebKit Bugzilla: 299391
CVE-2025-43435: Justin Cohen จาก Google
WebKit Bugzilla: 298851
CVE-2025-43425: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
WebKit Bugzilla: 298126
CVE-2025-43440: Nan Wang (@eternalsakura13)
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้หน่วยความจำเสียหายได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 298093
CVE-2025-43433: Big Sleep ของ Google
WebKit Bugzilla: 298194
CVE-2025-43431: Big Sleep ของ Google
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 299313
CVE-2025-43432: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
WebKit Bugzilla: 298232
CVE-2025-43429: Big Sleep ของ Google
WebKit Canvas
มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)
ผลกระทบ: เว็บไซต์อาจดึงข้อมูลภาพจากแหล่งอื่นที่ไม่ใช่ของตัวเองได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
WebKit Bugzilla: 297566
CVE-2025-43392: Tom Van Goethem
คำขอบคุณพิเศษ
MobileInstallation
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bubble Zhang
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Enis Maholli (enismaholli.com) และ Big Sleep ของ Google
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม