À moins d'une situation d'urgence, il s'agit probablement de la dernière mise à jour à destination de l'iPhone avant la sortie de la version stable d'iOS 26 l'automne prochain. Apple propose iOS 18.6 qui fait l'impasse sur des nouveautés et se concentre essentiellement sur la correction de vulnérabilités de sécurité.
Des failles de sécurité à ne pas prendre à la légère
iOS 18.6 prend l'allure d'un gros patch de sécurité avec la correction d'un peu moins d'une trentaine de failles. Le moteur de rendu WebKit est particulièrement bien loti avec le signalement d'une douzaine de vulnérabilités.
L'exploitation d'une vulnérabilité affectant WebKit pourrait par exemple exposer des informations de l'utilisateur lors de la consultation d'un contenu web malveillant. D'autres exploitations sont susceptibles de mener à une corruption de mémoire dans le cadre du traitement d'un contenu web spécialement conçu.
À noter également un bug de sécurité en lien avec VoiceOver et le risque d'entraîner la lecture d'un code d'accès à voix haute, ou encore une faille dans CoreMedia Playback permettant à une application d'accéder à des données sensibles de l'utilisateur.
Pas de vulnérabilités 0-day
Pour l'instant, un point rassurant est qu'Apple ne mentionne pas une quelconque exploitation active dans la nature des vulnérabilités disposant désormais d'un correctif idoine dans iOS 18.6. Une telle situation ne durera pas nécessairement et il vaut mieux appliquer la mise à jour sans trop tarder.
À souligner en outre qu'iOS 18.6 est la première mise à jour d'iOS depuis deux mois et demi, tandis que la suite avec iOS 26 arrivera donc à l'automne. Un intervalle de temps relativement long qui augmente mécaniquement les risques en restant sur une version vulnérable.
L'action correctrice ne concerne par ailleurs pas seulement iOS 18.6. Apple diffuse également iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 18.6 et visionOS 2.6.
Pour satisfaire la Commission européenne
Hors vulnérabilité de sécurité, iOS 18.6 corrige un bug dans l'application Photos qui pouvait empêcher le partage de souvenirs vidéo. Pour les utilisateurs de l'Union européenne et comme prévu, iOS 18.6 active aussi des mécanismes en rapport avec le règlement DMA (Digital Markets Act).
C'est ainsi une expérience utilisateur revue et corrigée pour moins de frictions… et de montée d'angoisse avec l'installation d'une boutique d'applications alternative à l'App Store et d'une application depuis le site web d'un développeur.
