Le bogue aurait été exploité dans des attaques «extrêmement sophistiquées» contre des individus ciblés.
Apple a déployé des correctifs d’urgence pour un bogue affectant WebKit, le moteur de navigateur Web open source utilisé principalement dans Safari, contre les exploitations actives dans la nature.
La vulnérabilité, CVE-2025024201, aurait été exploitée dans des attaques zéro-jour contre des individus ciblés.
« Apple est conscient d’un rapport que ce problème peut avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques sur les versions d’iOS avant 17.2 », a déclaré le fabricant d’iPhone dans un avis.
Des correctifs ont été publiés mardi et sont disponibles dans les dernières versions d’iOS, iPados, MacOS, Safari et VisionOS.
Un problème d’écriture hors limites
La vulnérabilité affecte spécifiquement la fonction de sandbox de contenu Web d’Apple, un mécanisme de sécurité qui isole le contenu Web du reste du système, empêchant les sites Web malveillants d’accéder à des données sensibles ou d’exécuter un code nocif au-delà de l’environnement du navigateur.
« Le contenu Web artisanal est peut-être en mesure de sortir du contenu Web Sandbox », a ajouté Apple. Il s’agit d’un problème d’écriture hors limites qu’Apple a d’abord résolu dans iOS 17.2 tout en bloquant les tentatives zéro jour.
La société a maintenant déployé des correctifs supplémentaires pour tous les systèmes d’exploitation affectés. Les mises à jour avec les correctifs incluent iOS 18.3.2, iPados 18.3.2, macOS Sequoia 15.3.2, Safari 18.3.1 et Vision 2.3.2.
Alors qu’Apple s’est abstenu de divulguer les détails techniques de l’exploitation pour des raisons de sécurité, il est connu que de tels problèmes pourraient potentiellement permettre des attaques à fort impact, y compris l’exécution du code distant (RCE), l’escalade des privilèges, le vol de données et la prise de contrôle des appareils.
Bien que le bogue n’ait été utilisé que dans des attaques ciblées, tous les utilisateurs d’Apple sont invités à installer ces mises à jour rapidement, car ils peuvent être utilisés dans d’autres attaques.
Trois jours zéro en quelques mois
Cela marque le troisième correctif zéro-jour d’Apple depuis le début de l’année, après les correctifs de CVE-2025-24085 en janvier et CVE-2025-24200 en février.
La principale part de marché d’Apple attire un intérêt contradictoire fréquent, ce qui rend un accident de développement ou de configuration extrêmement punissant. La société a subi un total de vingt bugs en 2023, notamment les Bugs RCE, CVE-2023-32434 et CVE-2023-32435 au prétendument exploité dans la campagne d’espionnage de l’opération de triangulation.
En 2024, Apple a corrigé six bogues zéro-jours, ainsi qu’une chaîne de défauts critiques, notamment CVE-2024-23225 et CVE-2024-23296, qui ont permis aux attaquants de contourner la protection de la mémoire du noyau.
