Проблеми системи безпеки, які усунено в оновленні tvOS 26.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 26.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 26.1

Apple Neural Engine

Доступно для: Apple TV 4K (2-го покоління й пізніших моделей)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43462: анонімний дослідник

AppleMobileFileIntegrity

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43379: Gergely Kalman (@gergely_kalman)

Assets

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню дозволів.

CVE-2025-43407: користувач JZ

CloudKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43448: Hikerell (Loadshine Lab)

CoreServices

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може перелічувати, скільки програм установив користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43436: Zhongcheng Li з відділу IES Red компанії ByteDance

CoreText

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2025-43445: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

FontParser

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого шрифту може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43400: фахівці Apple

Installer

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43444: Zhongcheng Li з відділу IES Red компанії ByteDance

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43398: Cristian Dinca (icmd.tech)

libxpc

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма в ізольованому середовищі може отримати можливість спостерігати за мережевими підключеннями на рівні всієї системи.

Опис: проблему з доступом вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43413: Dave G. й Alex Radocea із supernetworks.org

MallocStackLogging

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: під час обробки змінних середовища виникала проблема. Цю проблему усунуто завдяки поліпшенню перевірки.

CVE-2025-43294: Gergely Kalman (@gergely_kalman)

Model I/O

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43386: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43385: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43384: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CVE-2025-43383: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43480: Aleksejs Popovs

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-43458: Phil Beauvoir

CVE-2025-43430: проєкт Big Sleep від Google

CVE-2025-43427: Gary Kwong, користувач rheza (@ginggilBesel)

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2025-43443: анонімний дослідник

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43441: користувач rheza (@ginggilBesel)

CVE-2025-43435: Justin Cohen із Google

CVE-2025-43425: анонімний дослідник

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: цю проблему вирішено завдяки вдосконаленню перевірок

CVE-2025-43440: Nan Wang (@eternalsakura13)

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2025-43433: проєкт Big Sleep від Google

CVE-2025-43431: проєкт Big Sleep від Google

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43432: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43429: проєкт Big Sleep від Google

WebKit Canvas

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: вебсайт може призводити до витоку даних зображень в інший домен.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2025-43392: Tom Van Goethem

Додаткова подяка

MobileInstallation

Дякуємо за допомогу користувачу Bubble Zhang.

WebKit

Дякуємо за допомогу користувачу Enis Maholli (enismaholli.com) і проєкту Big Sleep від Google.