.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 26.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 26.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 26.4

เปิดตัวเมื่อวันที่ 24 มีนาคม 2026

802.1X

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลเครือข่ายได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2026-28865: Héloïse Gollier และ Mathy Vanhoef (KU Leuven)

Audio

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28879: Justin Cohen จาก Google

Audio

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-28822: Jex Amro

CoreMedia

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลสตรีมเสียงในไฟล์มีเดียที่ถูกสร้างขึ้นอย่างเจตนาร้ายอาจยุติกระบวนการ

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2026-20690: Hossein Lotfi (@hosselot) จาก TrendAI Zero Day Initiative

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

CoreUtils

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28886: Etienne Charron (Renault) และ Victoria Martini (Renault)

Crash Reporter

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน

CVE-2026-28878: Zhongcheng Li จาก IES Red Team

curl

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: พบปัญหาใน curl ซึ่งอาจส่งผลให้ส่งข้อมูลสำคัญโดยไม่ตั้งใจผ่านการเชื่อมต่อที่ไม่ถูกต้อง

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2025-14524

GeoServices

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ข้อมูลรั่วไหลได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2026-28870: XiguaSec

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก ดูเพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2025-64505

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการยืนยันตัวตนที่มีประสิทธิภาพมากขึ้น

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้หน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถแจกแจงแอปที่ติดตั้งของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2026-28882: Ilya Andr (andrd3v), Ilias Morad (A2nkF) จาก Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

Sandbox Profiles

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2026-28863: Gongyu Ma (@Mezone0)

Security

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีจากในระบบอาจสามารถแก้ไขสถานะของพวงกุญแจได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28860: Alex Radocea

เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2026

UIFoundation

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: อาการสแต็คล้นได้รับการแก้ไขผ่านการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2026-28852: Caspian Tarafdar

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 304951

CVE-2026-20665: webb

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถประมวลผลเนื้อหาเว็บที่ถูกจำกัดนอกแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 308248

CVE-2026-28859: greenbynox, Arni Hardarson และนักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

คำขอบคุณพิเศษ

AirPort

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii

Bluetooth

เราขอขอบคุณสำหรับความช่วยเหลือจาก Hamid Mahmoud

Captive Network

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kun Peeks (@SwayZGl1tZyyy)

CoreUI

เราขอขอบคุณสำหรับความช่วยเหลือจาก Peter Malone

Find My

เราขอขอบคุณความช่วยเหลือจาก Salemdomain

GPU Drivers

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jian Lee (@speedyfriend433)

ICU

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jian Lee (@speedyfriend433)

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือของ Adam Doupé จาก ASU SEFCOM, DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville จาก Fuzzinglabs, Patrick Ventuzelo จาก Fuzzinglabs, Robert Tran, Suresh Sundaram, Tristan Madani (@TristanInSec) จาก Talence Security

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

libarchive

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andreas Jaegersberger และ Ro Achterberg จาก Nosebeard Labs, Arni Hardarson

libc

เราขอขอบคุณสำหรับความช่วยเหลือของ Vitaly Simonovich (vitalysim.com)

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

Libnotify

เราขอขอบคุณสำหรับความช่วยเหลือจาก Morad (@A2nkF_)

LLVM

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathaniel Oh (@calysteon)

Messages

เราขอขอบคุณสำหรับความช่วยเหลือจาก JZ

MobileInstallation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gongyu Ma (@Mezone0)

ppp

เราขอขอบคุณ Dave G. ที่ให้ความช่วยเหลือ

Quick Look

เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Regula จาก SecuRing (wojciechregula.blog) นักวิจัยนิรนาม

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair

Shortcuts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Waleed Barakat (@WilDN00B) และ Paul Montgomery (@nullevent)

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Anand Mallaya ที่ปรึกษาด้านเทคโนโลยี, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar ผู้ประกอบอาชีพอิสระ

Spotlight

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman

Time Zone

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Safran Mumbai India

UIKit

เราขอขอบคุณสำหรับความช่วยเหลือของ EC, Abhay Kailasia (@abhay_kailasia) จาก Safran Mumbai India, Alex Thomas, Bishal Kafle (@whoisbishal.k), Carlos Luna (U.S. Department of the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp

อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2026

Wallet

เราขอขอบคุณสำหรับความช่วยเหลือจาก Zhongcheng Li from IES Red Team จาก ByteDance

Web Extensions

เราขอขอบคุณสำหรับความช่วยเหลือจาก Carlos Jeurissen, Rob Wu (robwu.nl)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vamshi Paili

WebKit Process Model

เราขอขอบคุณสำหรับความช่วยเหลือจาก Joseph Semaan

Wi-Fi

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kun Peeks (@SwayZGl1tZyyy) นักวิจัยนิรนาม

Wi-Fi Connectivity

เราขอขอบคุณสำหรับความช่วยเหลือจาก Alex Radocea จาก Supernetworks, Inc

Widgets

เราขอขอบคุณสำหรับความช่วยเหลือจาก Marcel Voß, Mitul Pranjay, Serok Çelik

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 15 พฤษภาคม 2569

เป็นประโยชน์ไหม