Проблеми системи безпеки, які усунено в оновленні tvOS 26.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 26.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
tvOS 26.2
Дата випуску: 12 грудня 2025 р.
AppleJPEG
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка файлу може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43539: Michael Reeves (@IntegralPilot)
curl
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: виявлено кілька проблем у curl.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-7264
CVE-2025-9086
Foundation
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливих даних може призвести до неочікуваного завершення роботи програми.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2025-43532: Andrew Calvano і Lucas Pinheiro з Meta Product Security
Icons
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: програма може визначати, яке інше ПЗ встановив користувач.
Опис: проблему з доступом усунено за допомогою додаткових обмежень.
CVE-2025-46279: Duy Trần (@khanhduytran0)
Kernel
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему цілочисельного переповнення вирішено завдяки впровадженню 64-розрядних міток часу.
CVE-2025-46285: Kaitao Xie і Xiaolong Bai з Alibaba Group
Multi-Touch
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: зловмисний HID-пристрій може спричинити неочікуване завершення процесу.
Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2025-43533: група аналізу загроз Google
WebKit
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 301940
CVE-2025-43531: Phil Pizlo з Epic Games
WebKit
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-14174.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 302502
CVE-2025-43529: група аналізу загроз Google
WebKit
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті. Компанії Apple відомо про те, що ця проблема могла активно використовуватись у надзвичайно складній атаці на користувачів із версіями iOS, випущеними до iOS 26. У відповідь на це повідомлення також було опубліковано запис CVE-2025-43529.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
WebKit Bugzilla: 303614
CVE-2025-14174: група з аналізу загроз Apple і Google
WebKit
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до розкриття внутрішніх станів програми.
Опис: проблему з ініціалізацією пам’яті вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 299518
CVE-2025-46299: проєкт Big Sleep від Google
Запис додано 9 січня 2026 р.
WebKit
Доступно для: Apple TV HD й Apple TV 4K (усі моделі)
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 301468
CVE-2025-46298: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, Nan Wang (@eternalsakura13)
Запис додано 9 січня 2026 р.
Додаткова подяка
AppleMobileFileIntegrity
Дякуємо за допомогу анонімному досліднику.
Core Services
Дякуємо за допомогу Golden Helm Securities, Csaba Fitzl (@theevilbit) з Iru та Gergely Kalman (@gergely_kalman).
Запис оновлено 9 січня 2026 р.
WebKit
Дякуємо за допомогу Geva Nurgandi Syahputra (gevakun) і проєкту Big Sleep від Google.
Запис оновлено 9 січня 2026 р.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.