Apple a publié des mises à jour de sécurité critiques pour ses appareils afin de corriger une vulnérabilité zero-day, CVE-2025-43300, qui a été activement exploitée lors de cyberattaques. Ce défaut dans le composant ImageIO de iOS, iPadOS et macOS permet aux attaquants d’exécuter du code malveillant via des fichiers image spécialement conçus. La vulnérabilité, liée à un problème d’écriture hors limites, peut entraîner une corruption de la mémoire et l’exécution de code non autorisé, posant des risques significatifs pour les utilisateurs, en particulier ceux qui stockent des informations sensibles comme des actifs en cryptomonnaie. Une exploitation réussie pourrait compromettre des actifs numériques en accédant à des clés privées et des identifiants de connexion. Ce défaut constitue également une menace dans les campagnes de logiciels espions, permettant potentiellement à des images malveillantes d’installer un logiciel de surveillance sans interaction de l’utilisateur. La nature zero-click de la vulnérabilité a suscité de vives inquiétudes parmi les experts en cybersécurité.
La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées connues, exhortant les agences fédérales à appliquer des mesures d’atténuation d’ici le 11 septembre 2025. Les utilisateurs d’Apple sont fortement conseillés de mettre à jour leurs appareils immédiatement pour se protéger contre une éventuelle exploitation. Les mises à jour couvrent une large gamme de produits Apple, et les utilisateurs doivent vérifier manuellement les mises à jour pour garantir une installation en temps opportun. Cet incident souligne l’importance cruciale des mises à jour logicielles rapides pour atténuer les menaces cybernétiques sophistiquées. Malgré l’approche coordonnée d’Apple en matière de divulgation, l’exploitation active de la faille souligne la nécessité de rester vigilant et de donner la priorité à la gestion des correctifs dans les stratégies de cybersécurité.
