Apple a publié des mises à jour de sécurité d’urgence pour corriger un bogue zero-day que la société décrit comme exploité dans des attaques « extrêmement sophistiquées ».
La vulnérabilité est suivie comme CVE-2025-24201 et a été trouvée dans le moteur de navigateur Web multiplateforme WebKit utilisé par le navigateur Web Safari d’Apple et de nombreuses autres applications et navigateurs Web sur macOS, iOS, Linux et Windows.
« Il s’agit d’un correctif supplémentaire pour une attaque qui a été bloquée dans iOS 17.2 », a déclaré le fabricant de l’iPhone dans des avis de sécurité publiés mardi. « Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans le cadre d’une attaque extrêmement sophistiquée contre des personnes ciblées spécifiques sur des versions d’iOS antérieures à iOS 17.2. »
Apple a déclaré que les attaquants peuvent exploiter la vulnérabilité CVE-2025-24201 en utilisant du contenu Web conçu de manière malveillante pour sortir du bac à sable du contenu Web.
La société a résolu ce problème d’écriture hors limites avec des vérifications améliorées pour empêcher les actions non autorisées dans iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 et Safari 18.3.1.
La liste des appareils concernés par ce jour zéro est assez longue, car le bogue affecte les modèles plus anciens et plus récents, notamment:
- iPhone XS et modèles ultérieurs,
- iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Sequoia
- Accessoires pour Apple Vision
Apple n’a pas encore attribué la découverte de cette faille de sécurité à l’un de ses chercheurs et n’a pas encore publié de détails sur les attaques « extrêmement sophistiquées » auxquelles elle était liée.
Même si le bogue du jour zéro n’a probablement été exploité que dans des attaques ciblées, il est fortement recommandé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentiellement en cours.
Avec cette vulnérabilité, Apple a corrigé trois jours zéro depuis le début de l’année, le premier en janvier (CVE-2025-24085) et le second en février (CVE-2025-24200).
L’année dernière, l’entreprise a corrigé six autres jours zéro exploités à l’état sauvage: le premier en janvier, deux en mars, un quatrième en mai et deux autres en novembre.
Cependant, un an auparavant, Apple avait corrigé 20 vulnérabilités zero-day exploitées lors d’attaques, notamment:
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre jour zéro WebKit (CVE-2023-23529) en février