tvOS 18.4'ün güvenlik içeriği hakkında

Bu belgede, tvOS 18.4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 18.4

AirDrop

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, rastgele dosya meta verilerini okuyabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorun giderildi.

CVE-2025-24097: 'den Ron MasasBREAKPOINT.SH

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.

CVE-2025-31202: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Giriş yapılmış bir Mac ile aynı ağda bulunan kimliği doğrulanmamış bir kullanıcı, eşleme yapılmadan AirPlay komutları gönderebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, işlem belleğin bozulmasına neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, kimlik doğrulama politikasını atlatabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2025-24206: Uri Katz (Oligo Security)

AirPlay

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2025-30445: Uri Katz (Oligo Security)

Audio

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, ASLR'yi atlayabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2025-43205: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Audio

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24244: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Audio

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24243: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

Calendar

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2025-24163: Google Tehdit Analiz Grubu

CoreAudio

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2025-24230: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreGraphics

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçla geliştirilmiş bir dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2025-31196: Trend Micro Zero Day Initiative ile çalışan wac

CoreMedia

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2025-24211: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreMedia

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin bozulmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24190: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreMedia Playback

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2025-31191: Microsoft'tan Jonathan Bar Or (@yo_yo_yo_jbo) ve anonim bir araştırmacı

CoreText

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2025-24182: Trend Micro Zero Day Initiative'den Hossein Lotfi (@hosselot)

CoreUtils

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel ağdaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir giriş doğrulama sorunu giderildi

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-9681

Foundation

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sorun, günlük kaydı temizlenerek çözüldü

CVE-2025-30447: Fudan University'den LFY@secsys

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir görüntünün ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Hata işleme iyileştirilerek bir mantık hatası giderildi.

CVE-2025-24210: Trend Micro Zero Day Initiative'den anonim bir araştırmacı

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kilitli bir cihazda parola girme girişimlerinde bulunabilir ve bu durum, 4 hatadan sonra artan zaman gecikmelerine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir giriş doğrulama sorunu giderildi

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2024-48958

libnetcore

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2025-24194: Anonim bir araştırmacı

libxml2

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir dosyanın ayrıştırılması, bir uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2025-27113

CVE-2024-56171

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2025-24178: Anonim bir araştırmacı

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2025-31182: Supernetworks'ten Alex Radocea ve Dave G., 风沐云烟(@binary_fmyy) ve Minghao Lin(@Y1nKoc)

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2025-24238: Anonim bir araştırmacı

NetworkExtension

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, kullanıcının yüklü uygulamalarını listeleyebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2025-30426: Jimmy

Power Services

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ek yetki denetimleriyle bu sorun giderildi.

CVE-2025-24173: Mickey Jin (@patch1t)

Security

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2025-30471: Alibaba Group'tan Bing Shi, Wenchao Li, Xiaolong Bai, Indiana University Bloomington'dan Luyi Xing

Share Sheet

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı bir uygulama, Kilit Ekranında bir kaydın başlatıldığına dair sistem bildirimini kapatabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2025-30438: Halle Winkler, Politepix (theoffcuts.org

Siri

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sorun, veri kapsayıcısı erişimine kısıtlamanın iyileştirilmesiyle giderilmiştir.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Metin alanlarının içerikleri günlüğe kaydedilmeyerek bir gizlilik sorunu giderildi.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2025-24264: Gary Kwong ve anonim bir araştırmacı

CVE-2025-24216: ParagonERP'den Paul Bakker

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2025-24209: Francisco Alonso (@revskills) ve anonim bir araştırmacı

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı bir web sitesi, Safari'nin Özel Dolaşma Modu'nu kullanan kullanıcıları izleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2025-30425: Anonim bir araştırmacı

Ek teşekkür listesi

Accounts

Bohdan Stasiuk'a (@bohdan_stasiuk) yardımları için teşekkür ederiz.

AirPlay

Uri Katz'a (Oligo Security) yardımları için teşekkür ederiz.

Apple Account

Byron Fecho'ya yardımları için teşekkür ederiz.

Find My

神罚'ya (@Pwnrin) yardımları için teşekkür ederiz.

Foundation

Google Project Zero'dan Jann Horn'a yardımı için teşekkür ederiz.

Handoff

Kirin ve FlowerCode'a yardımları için teşekkür ederiz.

HearingCore

Fudan University'den Kirin@Pwnrin ve LFY@secsys'e yardımları için teşekkür ederiz.

ImageIO

D4m0n'a yardımları için teşekkür ederiz.

Photos

Yardımları için Bistrit Dahal'a teşekkür ederiz.

Sandbox Profiles

Benjamin Hornbeck'e yardımı için teşekkür ederiz.

SceneKit

Dr. Rer. Nat. Marc Schoenefeld'e yardımları için yardımları için teşekkür ederiz.

Security

Kevin Jones'a (GitHub) yardımları için teşekkür ederiz.

Siri

Lyutoon'a yardımları için teşekkür ederiz.

WebKit

Gary Kwong, P1umer (@p1umer) ve Q1IQ (@q1iqF) ile HKUST Cybersecurity Lab'den Wai Kin Wong, Dongwei Xiao, Shuai Wang ve Daoyuan Wu'ya, VXRL'den Anthony Lai'ye (@darkfloyd1014), HKUST Cybersecurity Lab'den Wong Wai Kin, Dongwei Xiao ve Shuai Wang'e, VXRL'den Anthony Lai'ye (@darkfloyd1014), Tencent Security YUNDING LAB'den Xiangwei Zhang'e, 냥냥 ve anonim bir araştırmacıya yardımları için teşekkür ederiz.