Si Apple nous a gratifiés de toute une série de mises à jour un vendredi soir, ce n’est pas pour rien. Outre de nombreuses nouveautés, elles corrigent deux vulnérabilités de type « zero-day » qui ont pu être utilisées lors d’attaques ciblées.
Apple propose au téléchargement iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, ainsi que de nouvelles versions pour tvOS, watchOS et visionOS. Les anciens appareils ne sont pas oubliés avec la sortie notamment d’iOS 18.7.3. Ces correctifs ne sont pas là pour faire joli : ils répondent à une menace bien réelle.
macOS 26.2 disponible pour tous : découvrez les nouveautés lumineuses de cette mise à jour
iOS 26.2 disponible en version finale : toutes les nouveautés de cette mise à jour pas si anodine
WebKit et le moteur ANGLE en cause
Les deux failles, référencées sous les noms CVE-2025-43529 et CVE-2025-14174, touchent le cœur du système.
La première (CVE-2025-43529) concerne WebKit, le moteur de rendu de Safari. Il s'agit d'une faille de type use-after-free qui permet l'exécution de code arbitraire simplement en traitant un contenu web malveillant. La seconde (CVE-2025-14174) est une corruption de mémoire identifiée non seulement par les équipes d'Apple, mais aussi par le Threat Analysis Group de Google.
Fait intéressant, Google a également dû corriger Chrome en urgence mercredi dernier pour une faille similaire (liée à des accès mémoire hors limites dans ANGLE, un projet open-source initié par Google qui permet de traduire des commandes WebGL en commandes natives), ce qui confirme une divulgation coordonnée entre les deux géants de la tech. Comme Chrome sur iOS s'appuie sur WebKit, la boucle est bouclée.
Des attaques « extrêmement sophistiquées »
Comme c'est souvent le cas avec ce genre de correctif urgent, Apple reste avare en détails techniques pour laisser le temps au parc installé de se mettre à jour. Toutefois, la Pomme précise dans sa note de sécurité être au courant que ces failles ont pu être exploitées dans le cadre d'une « attaque extrêmement sophistiquée ciblant des individus spécifiques ».
Le profil de l'attaque — ciblant WebKit et des utilisateurs précis — porte la signature des logiciels espions d'État. Bien que le grand public ne soit généralement pas la cible de ces outils onéreux, on n’est jamais assez prudent.
Quels appareils sont concernés ?
La liste des terminaux vulnérables est longue. Les failles affectent les iPhone 11 et ultérieurs, ainsi qu'une large gamme d'iPad (iPad Pro 12,9" de 3e génération, iPad Air 3, iPad mini 5 et plus récents).
C'est une année chargée sur le front de la sécurité pour Apple. Avec ces deux nouveaux correctifs, le constructeur a désormais patché sept failles zero-day exploitées dans la nature depuis le début de l'année 2025.
Il est donc fortement recommandé de ne pas tarder et d'installer ces mises à jour dès que possible via les Réglages > Général > Mise à jour logicielle.
Source :
