Avec les mises à jour 26.2 de ses systèmes d’exploitation, dont iOS 26.2, Apple comble également des vulnérabilités de sécurité. En la matière, il y a un caractère d’urgence à cause de deux vulnérabilités zero-day. Une exploitation a été confirmée dans des attaques.
Quelles sont ces vulnérabilités et leur impact ?
Les deux failles, identifiées comme CVE-2025-43529 et CVE-2025-14174, affectent WebKit, le moteur de rendu web utilisé par Safari et de nombreuses autres applications sur les plateformes Apple.
La première est une vulnérabilité de type use-after-free pouvant mener à l’exécution de code à distance via un contenu web malveillant. La seconde est une faille de corruption de mémoire pouvant aussi être déclenchée par du contenu web piégé.
Apple indique être » au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques « . De quoi laisser entendre l’implication de spywares mercenaires.
Apple et Google ont collaboré
La découverte et la correction de ces failles mettent en lumière une collaboration entre Apple et Google. Le Threat Analysis Group (TAG) de Google est crédité pour le signalement de la faille CVE-2025-43529, tandis que CVE-2025-14174 a été identifiée conjointement par le TAG et l’Apple Security Engineering and Architecture (SEAR) .
La vulnérabilité CVE-2025-14174 est la même que celle corrigée par Google dans son navigateur Chrome quelques jours plus tôt. Elle y est décrite comme un accès mémoire hors limites dans la bibliothèque ANGLE (Almost Native Graphics Layer Engine). Initialement, Google avait été très mystérieux en n’attribuant même pas de CVE.
La divulgation coordonnée entre les deux groupes souligne la gravité et la complexité de la menace.
Quels appareils sont concernés ?
La liste des appareils concernés est large et inclut les iPhone 11 et plus récents, de nombreux modèles d’iPad (Pro, Air, mini), les Mac avec macOS Tahoe, ainsi que les Apple TV, Apple Watch et le Vision Pro.
Les correctifs d’Apple sont donc déployés dans le cadre des mises à jour iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, watchOS 26.6, tvOS 26.2 et visionOS 26.2. Sans oublier Safari 26.2, ou encore iOS 18.7.3 et iPadOS 18.7.3. Pour Apple, le compteur passe à neuf vulnérabilités zero-day exploitées en 2025.