Over de beveiligingsinhoud van tvOS 26.3

In dit document wordt de beveiligingsinhoud van tvOS 26.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 26.3

Bluetooth

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial-of-service-aanval opzetten met behulp van kwaadwillig vervaardigde Bluetooth-pakketten

Beschrijving: een probleem met denial-of-service is verholpen door verbeterde validatie.

CVE-2026-20650: jioundai

CoreAudio

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd mediabestand kan mogelijk leiden tot het onverwacht beëindigen van apps of het beschadigen van procesgeheugen

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2026-20611: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20609: Yiğit Can YILMAZ (@yilmazcanyigit)

CoreServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een race condition is verholpen door een verbeterde statusverwerking.

CVE-2026-20617: Gergely Kalman (@gergely_kalman), Csaba Fitzl (@theevilbit) van Iru

dyld

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller die geheugen kan wegschrijven, kan mogelijk willekeurige code uitvoeren. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem bij een uiterst geavanceerde aanval tegen specifiek gerichte personen in oudere versies van iOS dan iOS 26. CVE-2025-14174 en CVE-2025-43529 zijn ook uitgebracht als reactie op deze melding.

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2026-20700: Google Threat Analysis Group

Game Center

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een probleem met logboekregistratie is verholpen door een verbeterde manier van onleesbaar maken van gegevens.

CVE-2026-20649: Asaf Cohen

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2026-20675: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20634: George Karchemsky (@gkarchemsky) in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20654: Jian Lee (@speedyfriend433)

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2026-20671: Xin'an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef

libexpat

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2025-59375

Sandbox

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: een probleem met bevoegdheden is verholpen met aanvullende beperkingen.

CVE-2026-20628: Noah Gregory (wts.dev)

StoreKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: er is een privacyprobleem verholpen door verbeterde controles.

CVE-2026-20641: Gongyu Ma (@Mezone0)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2026-20635: EntryHi

Aanvullende erkenning

Bluetooth

Met dank aan Tommaso Sacchetti voor de hulp.

Kernel

Met dank aan Joseph Ravichandran (@0xjprx) van MIT CSAIL en Xinru Chi van Pangu Lab voor de hulp.

libpthread

Met dank aan Fabiano Anemone voor de hulp.

NetworkExtension

Met dank aan Gongyu Ma (@Mezone0) voor de hulp.

Transparency

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) voor de hulp.

WebKit

Met dank aan EntryHi, Luigino Camastra van Aisle Research, Stanislav Fort van Aisle Research, Vsevolod Kokorin (Slonser) van Solidlab en Jorian Woltjer voor de hulp.