Voici une bonne raison d’installer rapidement les dernières versions de macOS et iOS. Les mises à jour sorties cette semaine, corrigent une faille critique qui a été exploitée dans le cadre d’attaques zero-day ciblant les utilisateurs de Google Chrome et présente dans Webkit.
Identifiée sous le nom CVE-2025-6558, elle se trouvait dans Chrome dans ANGLE (Almost Native Graphics Layer Engine), une couche d’abstraction graphique open source qui gère les instructions GPU, laquelle est utilisée par Apple dans différents projets. La vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire dans le processus GPU du navigateur à l’aide de pages HTML spécialement conçues, ce qui pourrait leur permettre de contourner le bac à sable censé isoler les processus du navigateur du système d’exploitation sous-jacent.
Soirée mise à jour chez Apple : iOS 18.6, iPadOS 18.6, macOS 15.6, watchOS 11.6 et cie sont disponibles au téléchargement
Cette faille a été découverte mi-juin par Vlad Stolyarov et Clément Lecigne, deux membres de l’équipe Threat Analysis Group (TAG) de Google. Ce groupe a pour vocation de défendre les utilisateurs contre les attaques parrainées par des États.
Depuis, Google a mis son navigateur à jour pour corriger le problème. Cette semaine, Apple a fait de même en publiant un correctif pour corriger la faille CVE-2025-6558 dans Webkit. Ce patch a été déployé dans iOS 18.6, iPad OS 18.6, macOS 15.6, iPadOS 17.7.9, tvOS 18.6, visionOS 2.6 et watchOS 11.6. On ignore si cette faille a d’ores et déjà été corrigée dans les bêtas d’iOS 26 et macOS 26.
Concernant cette faille, Apple précise juste :
« Le traitement de contenus web malveillamment conçus peut entraîner un plantage inattendu de Safari », ajoutant que « cette faille affecte du code open source, et les logiciels Apple font partie des projets concernés ».
Comme le note le site dédié à la sécurité BleepingComputer, il s’agit de la sixième faille zero-day (autrement dit critique) corrigée par Apple depuis le début de l’année.
