Informacije o sigurnosnom sadržaju sustava tvOS 18.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 18.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 18.3

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači na lokalne mreže mogli su izazvati neočekivan pad sustava ili oštećenje procesne memorije

Opis: riješen je problem s provjerom valjanosti unosa.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni napadači mogli su izazvati neočekivano zatvaranje aplikacije

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu i Xingwei Lin (Sveučilište Zhejiang)

CoreAudio

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24160: Googleov tim Threat Analysis Group

CVE-2025-24161: Googleov tim Threat Analysis Group

CVE-2025-24163: Googleov tim Threat Analysis Group

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: raščlanjivanje datoteke moglo je dovesti do neočekivanog zatvaranja aplikacije

Opis: problem je riješen poboljšanim provjerama.

CVE-2025-24123: Desmond i inicijativa Zero Day (Trend Micro)

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) i inicijativa Zero Day (Trend Micro)

CoreMedia

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 17.2.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2025-24085

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24086: DongJun Kim (@smlijun) i JongSeong Kim (@nevul37) (Enki WhiteHat), D4m0n

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerne aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2025-24107: anonimni istraživač

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2025-24159: pattern-f (@pattern_F_)

SceneKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2025-24149: Michael DePlante (@izobashi) iz inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) i P1umer (@p1umer) (Imperial Global Singapore).

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2025-24162: linjy (HKUS3Lab) i chluo (WHUSecLab)

Dodatna zahvala

audio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreAudio

Na pomoći zahvaljujemo Googleovu timu Threat Analysis Group.

CoreMedia Playback

Na pomoći zahvaljujemo Song Hyun Baeu (@bshyuunn) i Lee Dong Hau (Who4mI).

Passwords

Na pomoći zahvaljujemo Talalu Haj Bakryju i Tommyju Mysku (Mysk Inc. @mysk_co).

Static Linker

Na pomoći zahvaljujemo Holgeru Fuhrmanneku.