Sans solution de contournement, Apple conseille à tous les utilisateurs d’installer iOS 16.7.12 et iPados 16.7.12 sans délai.
Apple a déployé deux nouvelles mises à jour pour corriger une vulnérabilité zéro-jour dans le cadre ImageIo, qui pourrait déjà avoir été exploitée lors d’attaques contre des individus spécifiques.
Le défaut, suivi sous le nom de CVE-2025-43300, et adressé dans iOS 16.7.12 et iPados 16.7.12, permet la corruption de la mémoire sur les téléphones Apple lorsqu’un fichier malveillant est traité.
Dans un avis de sécurité publié lundi, Apple a déclaré que le bogue découle d’un problème d’écriture hors limites. « Apple est au courant d’un rapport que ce problème peut avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques », a déclaré le fabricant d’iPhone.
Le correctif affecte à la fois les iPhones, iPads et appareils associés plus récents et plus anciens, y compris ceux qui n’exécutent pas la toute dernière version des systèmes d’exploitation Apple. La société prévient que, puisque ce défaut peut avoir été activement maltraité dans la nature, tous les utilisateurs, en particulier les modèles plus anciens, devraient installer la mise à jour immédiatement.
Patch portant des backs à des appareils plus anciens
Le CVE-2025-43300 a reçu une cote de gravité critique (CVSS 8,8 sur 10) et a été corrigé dans iOS 18.6.2 et iPados 18.6.2 le mois dernier. Lundi, Apple a prolongé le correctif à des builds EOL précédents contre les rapports d’exploitation active.
Le module affecté, ImageIo d’Apple, est le cadre responsable de la lecture, de l’écriture ou du traitement des images dans de nombreuses applications iOS / iPados. La vulnérabilité se produit lorsque certains fichiers d’image malveillants sont gérés – le système effectue des écritures hors limites car la validation des limites existante est insuffisante.
L’avis de sécurité d’Apple indique que le correctif implique une vérification des limites améliorée dans le cadre pour empêcher les écrits hors limites. Les appareils qui ont reçu la dernière mise à jour (16.7.12) incluent les iPads iPhone 8 et 8 Plus, X et 5e génération et les premiers modèles iPad Pro.
Bien qu’Apple ne divulgue pas publiquement la technicité des attaques observées, ce type de scénario d’exploitation est typique du «trou d’arrosage», du «phisseur de lance» ou d’autres attaques ciblées de livraison d’image, en particulier contre les individus à haut risque.
Les attaquants passant aux services d’image de base
Les attaquants semblent déplacer l’attention des modules de traitement d’image dans les logiciels système de base, plutôt que de poursuivre des services ou des applications orientés réseau évidents. La semaine dernière, Samsung a corrigé un bogue critique (CVE-2025-21043) affectant sa bibliothèque d’images fournies ‘libimagecodec.Quram.so’ qui a permis l’exécution de code distant via une image fabriquée avec une interaction utilisateur nulle.
Étant donné que les cadres de pariage d’images sont profondément intégrés dans la façon dont les appareils gèrent tout, de la messagerie aux galeries de médias, ces types d’exploits peuvent se cacher tranquillement, intégrés à des actions apparemment inoffensives.
Il est conseillé aux utilisateurs de mettre à jour non seulement leurs téléphones et tablettes, mais également tous les appareils connexes qui partagent les modules ImageIo ou équivalents de traitement d’image. Il est sûr de supposer que le bogue n’a pas de solution de contournement car ImageIo est un cadre de base et les utilisateurs ne peuvent pas le désactiver ou le remplacer. La seule atténuation réaliste consiste à installer la mise à jour.
Apple a eu tendance à huit jours zéro jusqu’à présent en 2025, après avoir corrigé un total de six en 2024. Le géant de Cupertino avait corrigé vingt de ces bugs il y a un an, notamment des bugs notoires RCE, CVE-2023-32434 et CVE-2023-32435, prétendument utilisés dans une opération de campagne de campagne de spy contre la Russie.
