Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero-day qui ont été utilisées dans une « attaque extrêmement sophistiquée » contre les iPhones de cibles spécifiques.
Les deux vulnérabilités se trouvent dans CoreAudio (CVE-2025-31200) et RPAC (CVE-2025-31201), les deux bogues ayant un impact sur iOS, macOS, tvOS, iPadOS et visionOS.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des personnes ciblées spécifiques sur iOS », lit-on dans un bulletin de sécurité Apple publié aujourd’hui.
La faille CVE-2025-31200 dans CoreAudio a été découverte par Apple et l’équipe d’analyse des menaces de Google. Il peut être exploité en traitant un flux audio dans un fichier multimédia conçu de manière malveillante pour exécuter du code à distance sur l’appareil.
La société a également corrigé CVE-2025-31201, qu’Apple a découvert. Il s’agit d’un bogue dans RPAC qui permet aux attaquants disposant d’un accès en lecture ou en écriture de contourner l’authentification par pointeur (PAC), une fonctionnalité de sécurité iOS qui aide à se protéger contre les vulnérabilités de la mémoire.
Apple n’a pas partagé plus de détails sur la façon dont les failles ont été exploitées dans les attaques. Breachtrace a contacté Apple et Google avec des questions sur les failles mais n’a pas reçu de réponse.
Les deux vulnérabilités ont été corrigées dans iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 et visionOS 2.4.1.
La liste des appareils concernés par ces jours zéro est longue, affectant les modèles plus anciens et plus récents:
- iPhone XS et modèles ultérieurs
- iPad Pro 13 pouces, iPad Pro 13,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- macOS Sequoia
- Apple TV HD et Apple TV 4K (tous les modèles)
- Accessoires pour Apple Vision
Même si ces failles zero-day ont été exploitées dans des attaques très ciblées, il est toujours fortement conseillé aux utilisateurs de les installer dès que possible.
Avec ces vulnérabilités, Apple a corrigé cinq jours zéro depuis le début de l’année, le premier en janvier (CVE-2025-24085), le deuxième en février (CVE-2025-24200) et le troisième en mars (CVE-2025-24201).