Apple a publié des mises à jour de sécurité pour rétroporter les correctifs publiés le mois dernier sur les anciens iPhones et iPads, corrigeant un bogue zero-day qui a été exploité dans des attaques « extrêmement sophistiquées ».
Cette faille de sécurité est la même qu’Apple a corrigée pour les appareils exécutant iOS 18.6.2 et iPadOS 18.6.2, iPadOS 17.7.10 et macOS (Sequoia 15.6.1, Sonoma 14.7.8 et Ventura 13.7.8) le 20 août.
Identifiée comme CVE-2025-43300, cette vulnérabilité a été découverte par les chercheurs en sécurité d’Apple et est causée par une faiblesse d’écriture hors limites dans le framework d’E/S d’image, qui permet aux applications de lire et d’écrire des formats de fichiers image.
Une écriture hors limites se produit lorsque des attaquants fournissent une entrée malveillante à un programme qui l’amène à écrire des données en dehors de la mémoire tampon allouée, ce qui peut déclencher des plantages, corrompre des données ou même permettre l’exécution de code à distance.
Apple a maintenant corrigé cette faille zero-day dans iOS 15.8.5 / 16.7.12, ainsi que iPadOS 15.8.5 / 16.7.12, avec des vérifications de limites améliorées.
« Le traitement d’un fichier image malveillant peut entraîner une corruption de la mémoire. Un problème d’écriture hors limites a été résolu avec une vérification améliorée des limites », a déclaré la société dans des avis publiés lundi.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques. »
La liste des appareils concernés par cette vulnérabilité est assez longue, le bogue affectant un large éventail d’anciens modèles, notamment:
- iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPhone 8, iPhone 8 Plus et iPhone X,
- iPad Air 2, iPad mini (4e génération), iPad 5e génération, iPad Pro 9,7 pouces, iPad Pro 12,9 pouces 1re génération et iPod touch (7e génération)
Fin août, WhatsApp a corrigé une vulnérabilité sans clic (CVE-2025-55177)dans ses clients de messagerie iOS et macOS, qui était chaînée avec le jour zéro CVE-2025-43300 d’Apple dans des attaques ciblées que la société a décrites comme » extrêmement sophistiquées. »
Alors qu’Apple et WhatsApp n’ont pas encore communiqué de détails sur les attaques enchaînant les deux vulnérabilités, Donncha Ó Cearbhaill, responsable du Laboratoire de sécurité d’Amnesty International, a déclaré que WhatsApp avait averti certains de ses utilisateurs que leurs appareils étaient ciblés par une campagne avancée de logiciels espions.
La semaine dernière, Samsung a également corrigé une vulnérabilité d’exécution de code à distance liée à la faille WhatsApp CVE-2025-55177 dans des attaques zero-day ciblant ses appareils Android.
Avec cette vulnérabilité, Apple a corrigé six jours zéro qui ont été exploités dans la nature en 2025: le premier en janvier (CVE-2025-24085), le deuxième en février (CVE-2025-24200), un troisième en mars (CVE-2025-24201), et deux autres en avril(CVE-2025-31200 et CVE-2025-31201).