L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement urgent concernant une vulnérabilité critique de type zero-day dans Apple WebKit, actuellement exploitée activement lors de cyberattaques. Cette vulnérabilité, identifiée sous le code CVE-2025-43529, a été ajoutée au catalogue de CISA des vulnérabilités exploitées connues, avec une date limite fixée au 5 janvier 2026, d’ici laquelle les agences fédérales doivent appliquer les correctifs nécessaires.
Apple a réagi en publiant des mises à jour de sécurité d’urgence le 12 décembre pour corriger deux vulnérabilités de WebKit. Ces mises à jour visent à protéger contre des attaques hautement sophistiquées ciblant des individus spécifiques utilisant des versions d’iOS antérieures à iOS 26. La vulnérabilité concerne un problème d’utilisation après libération dans la gestion de la mémoire de WebKit, permettant aux attaquants d’exécuter du code arbitraire via un contenu web malveillant sans interaction de l’utilisateur. Cette faille affecte plusieurs plateformes Apple, y compris iOS, iPadOS, macOS, et d’autres utilisant WebKit pour le rendu HTML.
Dans un effort coordonné, Google a également corrigé une vulnérabilité liée dans Chrome, identifiée sous le code CVE-2025-14174. La vulnérabilité a été découverte conjointement par le groupe d’analyse des menaces de Google et l’équipe d’ingénierie de la sécurité et de l’architecture d’Apple.
WebKit, le moteur derrière Safari, est essentiel pour la navigation web dans l’écosystème Apple, impactant des appareils tels que les iPhones, iPads, Macs, Apple Watches, Apple TVs, et les appareils visionOS. Les applications tierces utilisant WebKit pour le rendu HTML sont également à risque.
Apple a déployé des correctifs via des mises à jour pour iOS 26.2, iPadOS 26.2, iOS 18.7.3, iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2, et Safari 26.2, confirmant que les vulnérabilités ont été résolues.
Les experts en sécurité avertissent que les vulnérabilités zero-day posent des risques significatifs, souvent liées à des groupes parrainés par des États ou à des outils de surveillance commerciale. Une fois armés, ces exploits peuvent rapidement se propager parmi les acteurs malveillants à mesure que les détails techniques deviennent disponibles.
La directive opérationnelle contraignante 22-01 de la CISA oblige les agences fédérales et les sous-traitants à corriger les vulnérabilités exploitées connues dans des délais impartis, la date limite du 5 janvier visant spécifiquement CVE-2025-43529. Toutes les organisations sont invitées à traiter ces risques immédiats.
Apple conseille aux utilisateurs de mettre à jour leurs appareils rapidement via Réglages > Général > Mise à jour logicielle et recommande de vérifier manuellement les mises à jour plutôt que de se fier uniquement aux mises à jour automatiques dans les premiers jours suivant la publication d’un correctif.
