Проблеми системи безпеки, які усунено в оновленні tvOS 26.4

У цьому документі описано проблеми системи безпеки, які усунено у tvOS 26.4.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 26.4

802.1X

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисник із привілейованим положенням у мережі може перехоплювати мережевий трафік.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2026-28865: Héloïse Gollier і Mathy Vanhoef (KU Leuven)

Audio

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2026-28879: Justin Cohen із Google

Audio

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2026-28822: Jex Amro

CoreMedia

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка аудіопотоку в шкідливому медіафайлі може завершити процес.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2026-20690: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreUtils

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: користувач із привілейованим положенням у мережі може спричинити відмову в обслуговуванні.

Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.

CVE-2026-28886: Etienne Charron (Renault) і Victoria Martini (Renault)

Crash Reporter

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: проблему приватності вирішено завдяки вилученню конфіденційних даних.

CVE-2026-28878: Zhongcheng Li з відділу IES Red

curl

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: у curl було виявлено проблему, яка може призвести до ненавмисного надсилання конфіденційної інформації через неправильне зʼєднання.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-14524

GeoServices

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: витік інформації було усунено за допомогою додаткової перевірки.

CVE-2026-28870: XiguaSec

ImageIO

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-64505

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему вирішено завдяки вдосконаленню автентифікації.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може перелічувати, скільки програм інсталював користувач.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2026-28882: Ilias Morad (A2nkF) із Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: переповнення стека усунено завдяки поліпшенню перевірки вводу.

CVE-2026-28852: Caspian Tarafdar

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка зловмисного вебконтенту може завадити застосуванню політики безпеки контенту.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2026-20665: webb

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисний вебсайт може обробляти обмежений вебконтент поза межами ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2026-28859: greenbynox, Arni Hardarson

Додаткова подяка

AirPort

Дякуємо за допомогу Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari та Omid Rezaii

Bluetooth

Дякуємо за допомогу Hamid Mahmoud

Captive Network

Дякуємо за допомогу Kun Peeks (@SwayZGl1tZyyy).

CoreUI

Дякуємо за допомогу Peter Malone.

Find My

Дякуємо за допомогу користувачу Salemdomain.

GPU Drivers

Дякуємо за допомогу Jian Lee (@speedyfriend433).

ICU

Дякуємо за допомогу Jian Lee (@speedyfriend433).

Kernel

Дякуємо за допомогу DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville з Fuzzinglabs, Patrick Ventuzelo з Fuzzinglabs, Robert Tran і Suresh Sundaram.

libarchive

Дякуємо за допомогу Andreas Jaegersberger і Ro Achterberg з Nosebeard Labs, Arni Hardarson.

libc

Дякуємо за допомогу Vitaly Simonovich.

Libnotify

Дякуємо за допомогу Ilias Morad (@A2nkF_).

LLVM

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

Messages

Дякуємо за допомогу користувачу JZ.

MobileInstallation

Дякуємо за допомогу Gongyu Ma (@Mezone0).

ppp

Дякуємо за допомогу Dave G.

Quick Look

Дякуємо за допомогу Wojciech Regula із SecuRing (wojciechregula.blog) і анонімному досліднику.

Safari

Дякуємо за допомогу @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Дякуємо за допомогу Waleed Barakat (@WilDN00B) і Paul Montgomery (@nullevent).

Siri

Дякуємо за допомогу Anand Mallaya, Tech consultant, Anand Mallaya and Co., Harsh Kirdolia, Hrishikesh Parmar (приватний підприємець).

Spotlight

Дякуємо за допомогу Bilge Kaan Mızrak, Claude & Friends (дослідницький центр з аналізу ризиків), Zack Tickman.

Time Zone

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія).

UIKit

Дякуємо за допомогу користувачам AEC, Abhay Kailasia (@abhay_kailasia) із Safran (Мумбай, Індія), , Bishal Kafle (@whoisbishal.k), Carlos Luna (Міністерство військово-морських сил США), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Дякуємо за допомогу користувачу Zhongcheng Li з відділу IES Red компанії ByteDance.

Web Extensions

Дякуємо за допомогу Carlos Jeurissen і Rob Wu (robwu.nl).

WebKit

Дякуємо за допомогу Vamshi Paili.

WebKit Process Model

Дякуємо за допомогу Joseph Semaan.

Wi-Fi

Дякуємо за допомогу Kun Peeks (@SwayZGl1tZyyy) і анонімному досліднику.

Wi-Fi Connectivity

Дякуємо за допомогу Alex Radocea із Supernetworks, Inc.

Widgets

Дякуємо за допомогу Marcel Voß, Mitul Pranjay і Serok Çeli.