Проблеми системи безпеки, які усунено в оновленні tvOS 26.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 26.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участі в її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 26.2

AppleJPEG

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43539: Michael Reeves (@IntegralPilot)

curl

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: виявлено кілька проблем у curl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-7264

CVE-2025-9086

Foundation

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливих даних може призвести до неочікуваного завершення роботи програми.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43532: Andrew Calvano і Lucas Pinheiro з Meta Product Security

Icons

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може визначити, які інші програми інсталював користувач.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-46279: Duy Trần (@khanhduytran0)

Kernel

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему цілочисельного переповнення вирішено завдяки впровадженню 64-розрядних міток часу.

CVE-2025-46285: Kaitao Xie і Xiaolong Bai з Alibaba Group

Multi-Touch

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43533: група аналізу загроз Google

WebKit

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43531: Phil Pizlo з Epic Games

WebKit

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2025-43529: група аналізу загроз Google

WebKit

Цільові продукти: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2025-14174: група з аналізу загроз Apple і Google

Додаткова подяка

AppleMobileFileIntegrity

Дякуємо за допомогу анонімному досліднику.

AppSandbox

Дякуємо за допомогу Mickey Jin (@patch1t).

Core Services

Дякуємо за допомогу Golden Helm Securities.

WebKit

Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun).