Despre conținutul de securitate din tvOS 18.3

Acest document descrie conținutul de securitate din tvOS 18.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

tvOS 18.3

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator din rețeaua locală poate fi capabil să provoace închiderea neașteptată a sistemului sau să altereze memoria procesului

Descriere: a fost remediată o problemă legată de validarea intrărilor.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator aflat într-o poziție privilegiată poate fi capabil să efectueze o refuzare a serviciului (DoS)

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2025-24137: Uri Katz (Oligo Security)

ARKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu și Xingwei Lin din cadrul Universității Zhejiang

CoreAudio

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24160: Google Threat Analysis Group

CVE-2025-24161: Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2025-24123: Desmond în colaborare cu Trend Micro Zero Day Initiative

CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) în colaborare cu Trend Micro Zero Day Initiative

CoreMedia

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate să acorde privilegii superioare. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ în raport cu versiunile de iOS lansate înainte de versiunea iOS 17.2.

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2025-24085

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24086: DongJun Kim (@smlijun) și JongSeong Kim (@nevul37) din cadrul Enki WhiteHat, D4m0n

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2025-24107: un cercetător anonim

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2025-24159: pattern-f (@pattern_F_)

SceneKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2025-24149: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui conținut web poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2025-24158: Q1IQ (@q1iqF) (NUS CuriOSity) și P1umer (@p1umer) (Imperial Global Singapore).

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2025-24162: linjy (HKUS3Lab) și chluo (WHUSecLab)

Alte mențiuni

Audio

Dorim să mulțumim Google Threat Analysis Group pentru asistență.

CoreAudio

Dorim să mulțumim Google Threat Analysis Group pentru asistență.

CoreMedia Playback

Dorim să-i mulțumim lui Song Hyun Bae (@bshyuunn) și lui Lee Dong Ha (Who4mI) pentru asistență.

Passwords

Dorim să-i mulțumim lui Talal Haj Bakry și lui Tommy Mysk (Mysk Inc. @mysk_co) pentru asistență.

Static Linker

Dorim să îi mulțumim lui Holger Fuhrmannek pentru asistența acordată.