La salve de mises à jour estampillées 26.3 pour les systèmes d’exploitation d’Apple (iOS, iPadOS, macOS Tahoe, tvOS, watchOS et visionOS) s’accompagne de correctifs de bugs de sécurité, dont une vulnérabilité zero-day.
Quelle est la nature de cette vulnérabilité zero-day ?
Référencée CVE-2026-20700, la faille a été découverte par le Threat Analysis Group (TAG) de Google. Elle est de type corruption de mémoire dans dyld, le Dynamic Link Editor utilisé par tous les systèmes d’exploitation d’Apple.
Selon l’avis de sécurité d’Apple, » un attaquant disposant d’une capacité d’écriture en mémoire peut être en mesure d’exécuter du code arbitraire « . Potentiellement, de quoi offrir un contrôle total sur un appareil compromis.
Apple précise néanmoins une exploitation dans le cadre d’une attaque extrêmement sophistiquée contre des individus spécifiquement ciblés sur des versions d’iOS antérieures à iOS 26.
Une faille qui s’intègre dans une chaîne d’exploitation
La vulnérabilité CVE-2026-20700 n’est pas utilisée seule par les attaquants. Elle fait partie d’une chaîne d’exploitation impliquant deux autres failles, CVE-2025-14174 et CVE-2025-43529, toutes deux corrigées en décembre 2025.
L’enchaînement de ces trois failles permet aux attaquants de monter des cyberattaques complexes et manifestement difficiles à détecter. Les anciennes vulnérabilités affectaient le moteur de rendu web WebKit. Elles étaient également zero-day.
Peu de détails pour le moment
Si les détails manquent au sujet des attaques, il paraît clair qu’elles ne concernent pas le commun des utilisateurs des produits d’Apple. Cela étant, l’action correctrice demeure requise pour tous.
La faille CVE-2026-20700 constitue la première vulnérabilité zero-day touchant l’écosystème Apple pour 2026. L’année dernière, il y avait eu un total de neuf vulnérabilités zero-day corrigées par Apple.