Om säkerhetsinnehållet i tvOS 18.3
I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 18.3.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 18.3
Släpptes 27 januari 2025
AirPlay
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: en angripare på det lokala nätverket kan orsaka oväntad systemavstängning eller korrumpera processminnet
Beskrivning: Ett problem med indatavalidering åtgärdades.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: en fjärrangripare kan orsaka ett oväntat appavslut
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En angripare i en privilegierad position kan orsaka ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En fjärrangripare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Tolkning av en fil kan leda till oväntad appavslutning
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu och Xingwei Lin från Zhejiang University
CoreAudio
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Tolkning av en fil kan leda till oväntad appavslutning
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Tolkning av en fil kan leda till oväntad appavslutning
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2025-24123: Desmond i samarbete med Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car och Rotiple (HyeongSeok Jang) i samarbete med Trend Micro Zero Day Initiative
CoreMedia
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Ett program med skadligt innehåll kan höja behörigheter. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 17.2.
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2025-24085
ImageIO
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2025-24086: DongJun Kim (@smlijun) och JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n
Kernel
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En skadlig app kan kanske få rotbehörighet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2025-24107: en anonym forskare
Kernel
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2025-24159: pattern-f (@pattern_F_)
SceneKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Tolkning av en fil kan leda till att användarinformation avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2025-24149: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
WebKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) från NUS CuriOSity och P1umer (@p1umer) från Imperial Global Singapore.
WebKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy från HKUS3Lab och chluo från WHUSecLab
Ytterligare tack
Ljud
Vi vill tacka Google Threat Analysis Group för hjälpen.
CoreAudio
Vi vill tacka Google Threat Analysis Group för hjälpen.
CoreMedia Playback
Vi vill tacka Song Hyun Bae (@bshyuunn) och Lee Dong Ha (Who4mI) för hjälpen.
Passwords
Vi vill tacka Talal Haj Bakry och Tommy Mysk från Mysk Inc. @mysk_co för hjälpen.
Static Linker
Vi vill tacka Holger Fuhrmannek för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.