Over de beveiligingsinhoud van tvOS 18.3
In dit document wordt de beveiligingsinhoud van tvOS 18.3 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 18.3
Releasedatum: 27 januari 2025
AirPlay
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller op het lokale netwerk kan mogelijk het onverwacht beëindigen van het systeem veroorzaken of het procesgeheugen beschadigen
Beschrijving: een probleem met invoervalidatie is verholpen.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een externe aanvaller kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller in een geprivilegieerde positie kan mogelijk een denial of service uitvoeren
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er is een type confusion-probleem verholpen door verbeterde controles.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu en Xingwei Lin van Zhejiang University
CoreAudio
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan het onverwacht beëindigen van de app veroorzaken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2025-24123: Desmond in samenwerking met Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) in samenwerking met Trend Micro Zero Day Initiative
CoreMedia
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS vóór iOS 17.2.
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2025-24085
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2025-24086: DongJun Kim (@smlijun) en JongSeong Kim (@nevul37) in Enki WhiteHat, D4m0n
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen
Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.
CVE-2025-24107: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2025-24159: pattern-f (@pattern_F_)
SceneKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2025-24149: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) van NUS CuriOSity en P1umer (@p1umer) van Imperial Global Singapore.
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy van HKUS3Lab en chluo van WHUSecLab
Aanvullende erkenning
Audio
Met dank aan Google Threat Analysis Group voor de hulp.
CoreAudio
Met dank aan Google Threat Analysis Group voor de hulp.
CoreMedia Playback
Met dank aan Song Hyun Bae (@bshyuunn) en Lee Dong Ha (Who4mI) voor de hulp.
Passwords
Met dank aan Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co voor de hulp.
Static Linker
Met dank aan Holger Fuhrmannek voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.