Sobre o conteúdo de segurança do tvOS 18.3

Este documento descreve o conteúdo de segurança do tvOS 18.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

tvOS 18.3

AirPlay

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor na rede local pode conseguir causar o encerramento inesperado do sistema ou corromper a memória do processo

Descrição: um problema na validação de entradas foi resolvido.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o encerramento inesperado de apps

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor em uma posição privilegiada pode fazer uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu e Xingwei Lin da Universidade de Zhejiang

CoreAudio

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo pode causar o encerramento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2025-24123: Desmond em parceria com a Zero Day Initiative da Trend Micro

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) em parceria com a Zero Day Initiative da Trend Micro

CoreMedia

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um aplicativo malicioso pode elevar privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 17.2.

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2025-24085

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24086: DongJun Kim (@smlijun) e JongSeong Kim (@nevul37) na Enki WhiteHat, D4m0n

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app malicioso pode obter privilégios de raiz

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2025-24107: um pesquisador anônimo

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.

CVE-2025-24159: pattern-f (@pattern_F_)

SceneKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2025-24149: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2025-24158: Q1IQ (@q1iqF) da NUS CuriOSity e P1umer (@p1umer) da Imperial Global Singapore.

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2025-24162: linjy do HKUS3Lab e chluo do WHUSecLab

Outros reconhecimentos

Audio

Gostaríamos de agradecer ao Google Threat Analysis Group pela ajuda.

CoreAudio

Gostaríamos de agradecer ao Google Threat Analysis Group pela ajuda.

CoreMedia Playback

Gostaríamos de agradecer a Song Hyun Bae (@bshyuunn) e Lee Dong Ha (Who4mI) pela ajuda.

Passwords

Gostaríamos de agradecer a Talal Haj Bakry e Tommy Mysk da Mysk Inc. @mysk_co pela ajuda.

Static Linker

Gostaríamos de agradecer a Holger Fuhrmannek pela ajuda.