Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero-day dans le moteur WebKit. Les échecs, identifiés commeCVE-2025-43529 e CVE-2025-14174, ont été exploités dans le cadre d’attaques sophistiquées contre des individus spécifiques.
Les correctifs arrivent dans des versions telles que iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2 et d’autres plates-formes d’entreprise.
L’exploitation s’est produite via un contenu Web malveillant, sans qu’il soit nécessaire d’interagir avec l’utilisateur au-delà du chargement d’une page.
- iPhone 11 et modèles ultérieurs
- iPad
- iPad Air (3e génération et versions ultérieures)
- iPad (8e génération et versions ultérieures)
- iPad mini (5e génération et versions ultérieures)
Détails de la vulnérabilité
A CVE-2025-43529Il s’agit d’une erreur d’utilisation après libération dans WebKit.
Ce problème permet l’exécution de code arbitraire lors du traitement de contenu Web malveillant.
Les chercheurs de Google Threat Analysis Group ont identifié la faille, qui a été corrigée grâce à des améliorations dans la gestion de la mémoire.
A CVE-2025-14174implique une corruption de la mémoire, également déclenchée par un contenu Web contrefait.
Les crédits reviennent aux équipes Apple et Google TAG.
Le correctif comprenait des validations améliorées.
Les deux vulnérabilités affectent WebKit, le composant central pour le rendu du contenu Web dans Safari et les applications de l’écosystème Apple.
Versions avec correctifs disponibles
Apple a rendu les mises à jour disponibles simultanément sur plusieurs plates-formes.
- iOS 26.2 et iPadOS 26.2
- iOS 18.7.3 et iPadOS 18.7.3 (pour les appareils plus anciens)
- macOS Tahoe 26.2
- tvOS 26.2, watchOS 26.2 et visionOS 26.2
- Safari 26.2
La société a confirmé que les exploits se sont produits dans des versions antérieures à iOS 26.
La coordination avec Google a mis en évidence la gravité, carCVE-2025-14174a également affecté Chrome, recevant un correctif séparé.
Coordination entre Apple et Google
Les deux sociétés ont travaillé ensemble pour identifier et corriger le problème.
Google Threat Analysis Group, spécialisé dans les menaces avancées, a directement contribué aux deux failles.
A CVE-2025-14174est initialement apparu comme une vulnérabilité dans le composant ANGLE de Chrome.
Des mises à jour ultérieures ont lié le problème à WebKit sur la plate-forme Apple.
Cette collaboration reflète des préoccupations partagées en matière d’explorations actives.
Les chercheurs notent que l’implication de TAG suggère des liens possibles avec des acteurs étatiques ou des campagnes de logiciels espions.
Appareils et gamme concernés
Les vulnérabilités affectent une large gamme de matériel Apple.
Les modèles récents d’iPhone et d’iPad restent vulnérables sans la mise à jour.
WebKit s’intègre profondément dans le système, permettant aux applications d’afficher du contenu Web sans ouvrir Safari.
Les attaques nécessitaient uniquement le chargement d’une page malveillante.
Les appareils exécutant d’anciennes versions d’iOS sont confrontés à un risque plus élevé.
Année avec plusieurs jours zéro corrigés
2025 a vu plusieurs corrections zero-day dans Apple.
Ces incidents totalisent au moins sept à neuf cas explorés dans le monde réel.
Les échecs précédents ont affecté des composants tels que Kernel et ImageIO.
Cette fréquence indique une tendance croissante des attaques ciblant les plateformes mobiles.
Les experts soulignent la sophistication de ces campagnes, similaires aux opérations passées avec des chaînes d’exploitation.
Recommandations aux utilisateurs
Les utilisateurs doivent installer les mises à jour immédiatement.
Sur votre iPhone ou iPad, accédez à Ajustes > Geral > Atualização de Software.
Dans Macs, utilisez Preferências de Sistema > Atualização de Software.
Apple renforce le fait que, même si les attaques sont ciblées, l’application du correctif prévient les risques futurs.
Les appareils incompatibles avec les nouvelles versions reçoivent des mises à jour de sécurité distinctes lorsque cela est possible.
