Apple publie une mise à jour de sécurité pour ses appareils. Elle corrige une unique vulnérabilité référencée CVE-2025-24201 et faisant l'objet d'une exploitation active dans des attaques. Une faille de sécurité 0-day qui a donc été exploitée avant même qu'un correctif ne soit disponible.
Pour les utilisateurs d'iPhone, d'iPad, de Mac, voire d'Apple Vision Pro, l'installation sans délai de la mise à jour est vivement conseillée.
Une faille dans WebKit
La vulnérabilité réside dans WebKit, le moteur de rendu utilisé par Safari et d'autres applications pour afficher le contenu web. Elle est due à un problème d'écriture hors limites.
Via du contenu web malveillant spécialement conçu, un attaquant peut contourner l'environnement confiné (sandbox) Web Content.
Autrement dit, un attaquant qui exploite la vulnérabilité est en mesure d'exécuter du code arbitraire sur l'appareil de la victime et de le compromettre.
Une attaque extrêmement sophistiquée
Apple souligne un correctif supplémentaire pour une attaque qui a été bloquée dans iOS 17.2 et met en avant une attaque extrêmement sophistiquée contre des individus ciblés spécifiques sur les versions d'iOS antérieures à iOS 17.2.
Pour le moment, des zones d'ombre demeurent avec un avis de sécurité qui n'entre pas davantage dans les détails. Il n'est en outre pas précisé si le signalement émane de la propre équipe de sécurité d'Apple ou d'un chercheur en sécurité tiers.
À mettre à jour
- iOS 18.3.2 et iPadOS 18.3.2 : iPhone XS et modèles ultérieurs, iPad Pro 13 pouces, iPad Pro 12,9 pouces (3e génération et plus), iPad Pro 11 pouces (1re génération et plus), iPad Air (3e génération et plus), iPad (7e génération et plus) et iPad mini (5e génération et plus)
- macOS Sequoia 15.3.2 : Mac exécutant macOS Sequoia
- Safari 18.3.1 : Mac exécutant macOS Ventura et macOS Sonoma
- visionOS 2.3.2 : Apple Vision Pro
Depuis le début de cette année 2025, Apple a désormais corrigé un total de trois vulnérabilités 0-day. CVE-2025-24201 s'ajoute à CVE-2025-24085 et CVE-2025-24200.
