Zawartość związana z zabezpieczeniami w systemie tvOS 26.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 26.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 26.4

802.1X

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2026-28865: Héloïse Gollier i Mathy Vanhoef (KU Leuven)

Audio

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2026-28879: Justin Cohen z Google

Audio

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2026-28822: Jex Amro

CoreMedia

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie strumienia audio w złośliwie spreparowanym pliku multimedialnym może spowodować zakończenie procesu.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2026-20690: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CoreUtils

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28886: Etienne Charron (Renault) i Victoria Martini (Renault)

Crash Reporter

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: rozwiązano problem z prywatnością przez usunięcie poufnych danych.

CVE-2026-28878: Zhongcheng Li z IES Red Team

curl

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: występował problem w curl, który mógł skutkować niezamierzonym przesyłaniem poufnych informacji przez niewłaściwe połączenie.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-14524

GeoServices

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: wyciek informacji został rozwiązany przez dodatkowe sprawdzanie poprawności.

CVE-2026-28870: XiguaSec

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2025-64505

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: ten błąd naprawiono przez poprawienie mechanizmu uwierzytelniania.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie odczytać listę aplikacji zainstalowanych przez użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2026-28882: Ilias Morad (A2nkF) z Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd przepełnienia stosu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2026-28852: Caspian Tarafdar

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2026-20665: webb

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwa witryna internetowa może być w stanie przetworzyć ograniczoną zawartość ze strony internetowej poza piaskownicą.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2026-28859: greenbynox, Arni Hardarson

Dodatkowe podziękowania

AirPort

Dziękujemy za udzieloną pomoc: Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari, Omid Rezaii.

Bluetooth

Dziękujemy za udzieloną pomoc: Hamid Mahmoud.

Captive Network

Dziękujemy za udzieloną pomoc: Kun Peeks (@SwayZGl1tZyyy).

CoreUI

Dziękujemy za udzieloną pomoc: Peter Malone.

Find My

Dziękujemy za udzieloną pomoc: Salemdomain.

GPU Drivers

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).

ICU

Dziękujemy za udzieloną pomoc: Jian Lee (@speedyfriend433).

Kernel

Dziękujemy za udzieloną pomoc: DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville From Fuzzinglabs, Patrick Ventuzelo From Fuzzinglabs, Robert Tran, Suresh Sundaram.

libarchive

Dziękujemy za udzieloną pomoc: Andreas Jaegersberger & Ro Achterberg z Nosebeard Labs, Arni Hardarson.

libc

Dziękujemy za udzieloną pomoc: Vitaly Simonovich.

Libnotify

Dziękujemy za udzieloną pomoc: Ilias Morad (@A2nkF_).

LLVM

Dziękujemy za udzieloną pomoc: Nathaniel Oh (@calysteon).

Messages

Dziękujemy za udzieloną pomoc: JZ.

MobileInstallation

Dziękujemy za udzieloną pomoc Gongyu Ma (@Mezone0).

ppp

Dziękujemy za udzieloną pomoc: Dave G.

Quick Look

Dziękujemy za udzieloną pomoc: Wojciech Regula z SecuRing (wojciechregula.blog), anonimowy badacz.

Safari

Dziękujemy za udzieloną pomoc: @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair.

Shortcuts

Dziękujemy za udzieloną pomoc: Waleed Barakat (@WilDN00B) i Paul Montgomery (@nullevent).

Siri

Dziękujemy za udzieloną pomoc: Anand Mallaya, konsultant techniczny, Anand Mallaya i Co., Harsh Kirdolia, Hrishikesh Parmar (własna działalność)

Spotlight

Dziękujemy za udzieloną pomoc: Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman.

Time Zone

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India.

UIKit

Dziękujemy za udzieloną pomoc: AEC, Abhay Kailasia (@abhay_kailasia) z Safran Mumbai India, Bishal Kafle (@whoisbishal.k), Carlos Luna (United States Department z the Navy), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp.

Wallet

Dziękujemy za udzieloną pomoc: Zhongcheng Li z IES Red Team firmy ByteDance.

Web Extensions

Dziękujemy za udzieloną pomoc: Carlos Jeurissen, Rob Wu (robwu.nl).

WebKit

Dziękujemy za udzieloną pomoc: Vamshi Paili.

WebKit Process Model

Dziękujemy za udzieloną pomoc: Joseph Semaan.

Wi-Fi

Dziękujemy za udzieloną pomoc: Kun Peeks (@SwayZGl1tZyyy), anonimowy badacz.

Wi-Fi Connectivity

Dziękujemy za udzieloną pomoc: Alex Radocea z Supernetworks, Inc.

Widgets

Dziękujemy za udzieloną pomoc: Marcel Voß, Mitul Pranjay, Serok Çelik.