L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte urgente concernant une vulnérabilité critique de type zero-day dans Apple WebKit, actuellement exploitée lors de cyberattaques. Cette vulnérabilité, identifiée sous le code CVE-2025-43529, a été ajoutée au catalogue des vulnérabilités exploitées connues de l’agence le 16 décembre, avec une date limite fixée au 5 janvier 2026 pour que les agences fédérales appliquent les correctifs nécessaires.
Apple a réagi rapidement en publiant le 12 décembre des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités de WebKit utilisées dans des attaques très sophistiquées ciblant des individus spécifiques utilisant d’anciennes versions d’iOS. Décrite comme une faille de type “use-after-free” dans la gestion de la mémoire de WebKit, cette vulnérabilité permet aux attaquants d’exécuter du code arbitraire via du contenu web malveillant sans nécessiter d’interaction de l’utilisateur. Elle affecte une gamme de plateformes Apple, y compris iOS, iPadOS, macOS, et d’autres qui dépendent de WebKit pour le rendu HTML.
Dans un effort coordonné, Google a également corrigé une vulnérabilité liée dans Chrome, les équipes de sécurité des deux entreprises travaillant ensemble pour identifier et résoudre ce problème de corruption de mémoire. Le moteur WebKit, essentiel à Safari, supporte la navigation web dans tout l’écosystème d’Apple, y compris sur iPhone, iPad, Mac, Apple Watch, Apple TV, et les appareils visionOS, ainsi que dans les applications tierces utilisant WebKit.
Apple a publié des correctifs via des mises à jour telles que iOS 26.2, iPadOS 26.2, macOS Tahoe 26.2, et plus encore. Les experts en sécurité avertissent que les vulnérabilités zero-day posent des risques significatifs, souvent liées à des groupes parrainés par des États ou à des outils de surveillance commerciale, et peuvent rapidement se propager parmi les acteurs malveillants une fois les détails techniques divulgués.
La directive de la CISA exige que les agences fédérales et les contractants traitent les vulnérabilités connues dans les délais fixés, la date limite du 5 janvier visant spécifiquement le CVE-2025-43529. Apple exhorte les utilisateurs à mettre à jour rapidement leurs appareils via Réglages > Général > Mise à jour logicielle et à vérifier manuellement les mises à jour plutôt que de se fier uniquement aux mises à jour automatiques dans les jours suivant la publication du correctif.
