Sobre o conteúdo de segurança do tvOS 26.4

Este documento descreve o conteúdo de segurança do tvOS 26.4.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para mais informações sobre segurança, consulte a página Segurança do produto Apple.

tvOS 26.4

802.1X

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-28865: Héloïse Gollier e Mathy Vanhoef (KU Leuven)

Audio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos mal-intencionados pode causar uma falha inesperada no processo

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-28879: Justin Cohen do Google

Audio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor pode causar um desligamento inesperado de apps

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28822: Jex Amro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de um fluxo de áudio em um arquivo de mídia criado de forma mal-intencionada pode encerrar o processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2026-20690: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CoreUtils

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um usuário em uma posição de rede privilegiada pode ser capaz de causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28886: Etienne Charron (Renault) e Victoria Martini (Renault)

Crash Reporter

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2026-28878: Zhongcheng Li da IES Red Team

curl

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: existia um problema em "curl" que pode causar o envio não intencional de informações confidenciais por meio de uma conexão incorreta

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-14524

GeoServices

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um vazamento de informações foi resolvido por meio de validação adicional.

CVE-2026-28870: XiguaSec

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo criado com códigos mal-intencionados pode causar o encerramento inesperado de apps

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2025-64505

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: esse problema foi resolvido por meio de melhorias na autenticação.

CVE-2026-28867: Jian Lee (@speedyfriend433)

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-20698: DARKNAVY (@DarkNavyOrg)

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2026-20687: Johnny Franks (@zeroxjf)

libxpc

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode enumerar os apps instalados de um usuário

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2026-28882: Ilias Morad (A2nkF) do Voynich Group, Duy Trần (@khanhduytran0), @hugeBlack

Sandbox Profiles

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2026-28863: Gongyu Ma (@Mezone0)

UIFoundation

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um estouro de pilha foi resolvido por meio de melhorias na validação de entradas.

CVE-2026-28852: Caspian Tarafdar

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2026-20665: webb

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um site mal-intencionado pode conseguir processar conteúdo da web restrito fora da área restrita

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2026-28859: greenbynox, Arni Hardarson

Outros reconhecimentos

AirPort

Gostaríamos de agradecer a Yashar Shahinzadeh, Saman Ebrahimnezhad, Amir Safari e Omid Rezaii pela ajuda.

Bluetooth

Gostaríamos de agradecer a Hamid Mahmoud pela ajuda.

Rede cativa

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) pela ajuda.

CoreUI

Gostaríamos de agradecer a Peter Malone pela ajuda.

Find My

Gostaríamos de agradecer a Salemdomain pela ajuda.

GPU Drivers

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela ajuda.

ICU

Gostaríamos de agradecer a Jian Lee (@speedyfriend433) pela ajuda.

Kernel

Gostaríamos de agradecer a DARKNAVY (@DarkNavyOrg), Kylian Boulard De Pouqueville da Fuzzinglabs, Patrick Ventuzelo da Fuzzinglabs, Robert Tran, Suresh Sundaram pela ajuda.

libarchive

Gostaríamos de agradecer a Andreas Jaegersberger e Ro Achterberg da Nosebeard Labs, Arni Hardarson pela ajuda.

libc

Gostaríamos de agradecer a Vitaly Simonovich pela ajuda.

Libnotify

Gostaríamos de agradecer a Ilias Morad (@A2nkF_) pela ajuda.

LLVM

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela ajuda.

Messages

Gostaríamos de agradecer a JZ pela ajuda.

MobileInstallation

Gostaríamos de agradecer a Gongyu Ma (@Mezone0) pela ajuda.

ppp

Gostaríamos de agradecer a Dave G. pela ajuda.

Quick Look

Gostaríamos de agradecer a Wojciech Regula da SecuRing (wojciechregula.blog) e um pesquisador anônimo pela ajuda.

Safari

Gostaríamos de agradecer a @RenwaX23, Farras Givari, Syarif Muhammad Sajjad, Yair pela ajuda.

Shortcuts

Gostaríamos de agradecer a Waleed Barakat (@WilDN00B) e Paul Montgomery (@nullevent) pela ajuda.

Siri

Gostaríamos de agradecer a Anand Mallaya, consultor técnico, Anand Mallaya e Co., Harsh Kirdolia, Hrishikesh Parmar, autônomo, pela ajuda.

Spotlight

Gostaríamos de agradecer a Bilge Kaan Mızrak, Claude & Friends: Risk Analytics Research Group, Zack Tickman pela ajuda.

Time Zone

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Safran Mumbai, Índia, pela ajuda.

UIKit

Gostaríamos de agradecer a AEC, Abhay Kailasia (@abhay_kailasia) da Safran Mumbai, Índia, Bishal Kafle (@whoisbishal.k), Carlos Luna (Departamento da Marinha dos EUA), Dalibor Milanovic, Daren Goodchild, JS De Mattei, Maxwell Garn, Zack Tickman, fuyuu12, incredincomp pela ajuda.

Wallet

Gostaríamos de agradecer a Zhongcheng Li da IES Red Team da ByteDance pela ajuda.

Web Extensions

Gostaríamos de agradecer a Carlos Jeurissen, Rob Wu (robwu.nl) pela ajuda.

WebKit

Gostaríamos de agradecer a Vamshi Paili pela ajuda.

WebKit Process Model

Gostaríamos de agradecer a Joseph Semaan pela ajuda.

Wi-Fi

Gostaríamos de agradecer a Kun Peeks (@SwayZGl1tZyyy) e um pesquisador anônimo pela ajuda.

Wi-Fi Connectivity

Gostaríamos de agradecer a Alex Radocea da Supernetworks, Inc pela ajuda.

Widgets

Gostaríamos de agradecer a Marcel Voß, Mitul Pranjay, Serok Çelik pela ajuda.