.inline-media-container.loading { background: none; } .inline-media-container.loading::after, .inline-media-container.loading-empty::after { display: none; content: none; } .inline-media-container.loading video { display: block !important; }

Проблеми системи безпеки, які усунено в оновленні tvOS 26

У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 26.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски оновлень безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 26

Дата випуску: 15 вересня 2025 р.

Apple Neural Engine

Доступно для: Apple TV 4K (2-го покоління та пізніших моделей)

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43344: анонімний дослідник

AppleMobileFileIntegrity

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43317: Mickey Jin (@patch1t)

Audio

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого медіафайлу може призводити до неочікуваного завершення роботи програми або пошкодження пам’яті процесу.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2025-43346: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

Audio

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: шкідлива програма може зчитувати пам’ять ядра.

Опис: проблему із читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43361: Michael Reeves (@IntegralPilot)

Запис додано 3 листопада 2025 р.

Bluetooth

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43354: Csaba Fitzl (@theevilbit) з Kandji

CVE-2025-43303: Csaba Fitzl (@theevilbit) з Kandji

CloudKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43323: Yinyi Wu (@_3ndy1) з Dawn Security Lab (JD.com, Inc)

Запис додано 3 листопада 2025 р.

CoreAudio

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43372: 이동하 (Lee Dong Ha) з SSA Lab

IOHIDFamily

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43302: Keisuke Hosoda

IOKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2025-31255: Csaba Fitzl (@theevilbit) з Kandji

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: серверний сокет UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43359: Viktor Oreshkin

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-43345: Mickey Jin (@patch1t)

Запис додано 3 листопада 2025 р.

MobileStorageMounter

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43355: Dawuge із Shuffle Team

Sandbox

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43329: анонімний дослідник

SQLite

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка файлу може призводити до пошкодження пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-6965

System

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: вирішено проблему, пов’язану з перевіркою вводу.

Опис: проблему усунуто завдяки видаленню вразливого коду.

CVE-2025-43347: JZ, Seo Hyun-gyu (@wh1te4ever), Luke Roberts (@rookuu)

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: вебсайт може отримувати доступ до даних датчиків без згоди користувача.

Опис: проблему вирішено завдяки вдосконаленню обробки кешу.

WebKit Bugzilla: 296153

CVE-2025-43356: Jaydev Ahire

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 296490

CVE-2025-43343: анонімний дослідник

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 296042

CVE-2025-43342: анонімний дослідник

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження даних у пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 293895

CVE-2025-43419: Ignacio Sanmillan (@ulexec)

Запис додано 3 листопада 2025 р.

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисник міг дистанційно переглядати запити DNS, отримані в результаті витоку, з увімкненою функцією «Приват-реле».

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 295943

CVE-2025-43376: Mike Cardwell із grepular.com, Bob Lord

Запис додано 3 листопада 2025 р.

Додаткова подяка

Accounts

Дякуємо за допомогу користувачу 要乐奈.

AuthKit

Дякуємо за допомогу користувачу Rosyna Keller з Totally Not Malicious Software.

CFNetwork

Дякуємо за допомогу користувачу Christian Kohlschütter.

Core Bluetooth

Дякуємо за допомогу користувачу Leon Böttger.

Запис додано 3 листопада 2025 р.

CoreMedia

Дякуємо за допомогу користувачу Noah Gregory (wts.dev).

darwinOS

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

Foundation

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

ImageIO

Дякуємо за допомогу користувачам DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) з Enki WhiteHat.

Kernel

Дякуємо за допомогу користувачам Sungwoo Kim Yepeng Pan і проф., д-ру Christian Rossow.

Запис оновлено 26 травня 2026 р.

libc

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libpthread

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libxml2

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

mDNSResponder

Дякуємо за допомогу користувачу Barrett Lyon.

MediaRemote

Дякуємо за допомогу користувачу Dora Orak.

Sandbox Profiles

Дякуємо за допомогу користувачу Rosyna Keller з Totally Not Malicious Software.

Transparency

Дякуємо за допомогу користувачам Wojciech Regula із SecuRing (wojciechregula.blog) і 要乐奈.

WebKit

Дякуємо за допомогу користувачу Matthew Liang.

Запис оновлено 3 листопада 2025 р.

Wi-Fi

Дякуємо за допомогу користувачам Aobo Wang (@M4x_1997), Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) і анонімному досліднику.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: червня 04, 2026