Apple a déployé des mises à jour de sécurité urgentes pour contrer une vulnérabilité critique de type zero-day, référencée CVE-2025-43300, dans son framework ImageIO, actuellement exploitée lors d’attaques ciblées. Il s’agit de la septième correction de zero-day par Apple en 2025, soulignant la menace croissante pour les appareils iOS et macOS. La vulnérabilité, désormais répertoriée dans le catalogue des vulnérabilités exploitées connues de la CISA, présente des risques significatifs, incitant à une action immédiate avant la date limite du 11 septembre 2025.
La faille, une vulnérabilité d’écriture hors limites, affecte la logique de décodage JPEG sans perte pour les fichiers Adobe DNG. Elle résulte d’une discordance entre les métadonnées dans les sous-répertoires TIFF et les marqueurs JPEG SOF3. Les attaquants peuvent exploiter cette faille en modifiant deux octets dans un fichier DNG, entraînant une corruption de la mémoire lors du traitement de l’image. Cet exploit zero-click se déclenche automatiquement via iMessage, les emails, AirDrop ou le contenu web.
Apple décrit ces attaques comme extrêmement sophistiquées, ciblant des individus spécifiques, ce qui indique l’implication d’acteurs menaçants avancés. L’exploit nécessite des connaissances techniques approfondies, comme le montre le code de preuve de concept démontrant une corruption de la mémoire dans le composant RawCamera.bundle d’Apple. Des outils de détection ont été développés pour identifier de telles tentatives d’exploitation.
Contrairement aux précédents exploits zero-click d’iOS liés à des logiciels espions commerciaux, CVE-2025-43300 pose des défis d’attribution, Apple ne divulguant pas de détails sur les attaquants ou les cibles. Cela contraste avec des campagnes bien documentées comme BLASTPASS et FORCEDENTRY, liées au logiciel espion Pegasus du groupe NSO. La sophistication et la nature ciblée de l’attaque suggèrent l’implication d’acteurs étatiques ou de développeurs de logiciels espions avancés.
L’évolution des attaques zero-click sur iOS reflète une course aux armements entre les mesures de sécurité d’Apple et les capacités des adversaires. Des opérations passées, comme Triangulation et FORCEDENTRY, ont démontré une complexité technique sans précédent, exploitant des fonctionnalités matérielles et construisant des ordinateurs virtuels dans la mémoire d’iOS. Le logiciel Pegasus du groupe NSO est passé d’exploits basés sur des clics à des exploits zero-click, se concentrant sur des cibles de grande valeur comme les journalistes et les responsables gouvernementaux.
En réponse, Apple recommande des mises à jour immédiates vers iOS 18.6.2 et les versions macOS correspondantes, en particulier pour les utilisateurs à haut risque. Le Mode de verrouillage offre une protection supplémentaire mais limite la fonctionnalité de l’appareil. Les organisations devraient améliorer la surveillance, déployer des solutions de détection avancées et maintenir une veille sur les menaces actualisée. La chasse proactive aux menaces est essentielle pour détecter les attaques zero-click furtives.
CVE-2025-43300 souligne l’évolution continue des menaces mobiles, où des adversaires sophistiqués exploitent des vulnérabilités complexes pour une surveillance persistante. Cela souligne la nécessité de stratégies de sécurité mobile complètes abordant les menaces techniques et opérationnelles.
