Apple a publié mercredi plusieurs mises à jour de sécurité d'urgence pour corriger une vulnérabilité zero-day qui avait déjà été exploitée lors de cyberattaques sophistiquées contre ses appareils.
D'après les notes communiquées par l'équipe d'assistance d'Apple, le correctif a été déployé pour iOS, iPadOS, macOS Tahoe, tvOS, watchOS et visionOS. L'entreprise a indiqué que la faille, référencée CVE-2026-20700, pourrait permettre à des attaquants d'exécuter du code malveillant sur les appareils concernés si elle était exploitée.
L'analyse des menaces de Google a révélé que la vulnérabilité CVE-2026-20700 provoque une corruption de la mémoire dans dyld, l'éditeur de liens dynamiques d'Apple. L'équipe de chercheurs en cybersécurité a averti que des pirates capables d'écrire dans la mémoire de l'appareil pourraient exploiter cette faille pour exécuter des commandes arbitraires. L'équipe de sécurité interne d'Apple a collaboré avec les analystes de sécurité durant l'enquête.
« Apple a pris connaissance d’un rapport indiquant que cette faille aurait pu être exploitée dans le cadre d’une attaque extrêmement sophistiquée visant des individus ciblés sur des versions d’iOS antérieures à iOS 26 », a déclaré la société dans un avis de sécurité.
Une faille zero-day avait déjà permis de mener des attaques ciblées, selon un rapport de Google
D'après les notes , cette faille zero-day faisait partie d'un ensemble de vulnérabilités précédemment identifiées dent corrigées. Deux failles connexes, CVE-2025-14174 et CVE-2025-43529, ont été corrigées fin décembre.
À l'époque, Cryptopolitan Il a été signalé que ces vulnérabilités antérieures affectaient WebKit, le moteur qui alimente le navigateur Safari d'Apple et tous les navigateurs tiers sur iOS et iPadOS.
La faille CVE-2025-14174 exploitait un problème d'accès mémoire hors limites dans le composant de rendu Metal d'ANGLE. Metal est le framework de calcul et de traitement graphique accéléré par le matériel d'Apple.
En revanche, la vulnérabilité CVE-2025-43529 provenait d'une faille de type « use-after-free » dans WebKit. Des cyberattaquants pouvaient exploiter cette faille via un contenu web spécialement conçu permettant l'exécution de code sur l'appareil de la victime.
Un problème critique concernait le framework CoreMedia, qui gère le traitement audio et vidéo. Des pirates pouvaient prendre le contrôle du CoreMedia d'un utilisateur en envoyant des fichiers malveillants aux iPhones ciblés. Une fois traités, ces fichiers pouvaient provoquer des attaques par déni de service ou exposer des données privées stockées dans la mémoire du téléphone.
L'analyse de Google a confirmé que ces vulnérabilités avaient probablement été exploitées dans le cadre de campagnes de logiciels espions ciblées visant des militants, des journalistes ou des représentants du gouvernement.
Apple note la liste des appareils éligibles aux mises à jour
Les dernières mises à jour de sécurité d'Apple s'appliquent aux appareils récents et plus anciens, sur plusieurs plateformes. L'entreprise a déployé iOS 26.3 et iPadOS 26.3 pour l'iPhone 11 et les modèles ultérieurs, ainsi que pour plusieurs générations d'iPad.
Les ordinateurs Mac exécutant macOS Tahoe ont reçu la mise à jour vers la version 26.3, tandis que les modèles Apple TV ont bénéficié de tvOS 26.3. Les Apple Watch Series 6 et les appareils plus récents ont reçu watchOS 26.3.
Apple a également publié des mises à jour visionOS 26.3 pour tous les casques Vision Pro, tandis que les appareils plus anciens ont reçu des correctifs via des mises à jour telles que iOS 18.7.5, macOS Sequoia 15.7.4, macOS Sonoma 14.8.4 et Safari 26.3.
Apple a déclaré que le problème avait été résolu grâce à une meilleure gestion de la mémoire dans la dernière version d'iOS.
D'autres failles de sécurité ont été corrigées dans des zones système essentielles, notamment Game Center, ImageIO, le noyau du système d'exploitation et les applications Apple Live Caption, Photos, Spotlight, Shortcuts et StoreKit.
Les mises à jour des fonctionnalités de Siri sont retardées suite à des tests infructueux
Ces mises à jour de sécurité interviennent alors qu'Apple peine à moderniser son assistant vocal Siri. Le fabricant d'iPhone prévoyait d'intégrer les nouvelles fonctionnalités de Siri à la prochaine mise à jour logicielle, prévue pour mars.
Cependant, des problèmes rencontrés lors des tests ont contraint Apple à revoir son calendrier, selon des sources proches du dossier. Certaines fonctionnalités devraient être déployées ultérieurement.
Apple prévoyait initialement d'intégrer les fonctionnalités améliorées de Siri à iOS 26.4. Bien que la date de sortie de la mise à jour, initialement prévue pour mars, soit maintenue, certaines fonctions seront absentes. Les ingénieurs testent actuellement ces nouvelles fonctionnalités dans iOS 26.5, dont la sortie est attendue en mai, tandis que d'autres mises à jour pourraient être reportées jusqu'à iOS 27 en septembre.
Lors de sa première présentation en juin 2024, Siri a été montrée capable d'analyser le contenu à l'écran et d'offrir un contrôle vocal plus précis, aussi bien pour les applications Apple que pour les applications tierces. Apple prévoyait initialement de déployer ces fonctionnalités début 2025, mais ce calendrier a ensuite été repoussé à une date indéterminée en 2026.
