A tvOS 18.3 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 18.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 18.3

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók váratlan rendszerleállást tudtak előidézni vagy károsítani tudták a feldolgozási memóriát a helyi hálózaton

Leírás: Elhárítottunk egy bemenet-ellenőrzési hibát.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, és Xingwei Lin, Zhejiang University

CoreAudio

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése váratlan appleállást idézhetett elő

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2025-24123: Desmond, a Trend Micro Zero Day Initiative közreműködőjeként

CVE-2025-24124: Pwn2car és Rotiple (HyeongSeok Jang), a Trend Micro Zero Day Initiative közreműködőjeként

CoreMedia

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 17.2 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2025-24085

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24086: DongJun Kim (@smlijun) és JongSeong Kim (@nevul37), Enki WhiteHat, D4m0n

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2025-24107: anonim kutató

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2025-24159: pattern-f (@pattern_F_)

SceneKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2025-24149: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2025-24158: Q1IQ (@q1iqF), NUS CuriOSity és P1umer (@p1umer), Imperial Global Singapore.

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2025-24162: linjy, HKUS3Lab és chluo, WHUSecLab

További köszönetnyilvánítás

Audio

Köszönjük a Google Threat Analysis Group segítségét.

CoreAudio

Köszönjük a Google Threat Analysis Group segítségét.

CoreMedia Playback

Köszönjük Song Hyun Bae (@bshyuunn) és Lee Dong Ha (Who4mI) segítségét.

Passwords

Köszönjük Talal Haj Bakry és Tommy Mysk, Mysk Inc. @mysk_co segítségét.

Static Linker

Köszönjük Holger Fuhrmannek segítségét.