Apple a récemment déployé iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, watchOS 11.6, tvOS 11.6 et visionOS 2.6 pour remédier à une grave vulnérabilité zero-day, CVE-2025-6558, qui a été activement exploitée dans des attaques ciblant les utilisateurs de Google Chrome.
Le problème réside dans ANGLE, la couche d'abstraction graphique open source utilisée pour traduire les commandes GPU sur toutes les plates-formes. Les attaquants pourraient créer des pages HTML malveillantes pour exploiter cette faille, leur permettant ainsi d’exécuter du code arbitraire et potentiellement de sortir de l’environnement sandbox de Chrome. Google a corrigé le bug le 15 juillet après que son groupe d'analyse des menaces – les chercheurs Vlad Stolyarov et Clément Lecigne – l'aient signalé en juin comme étant exploité dans la nature.
Alors que la vulnérabilité était initialement liée à Chrome, Apple a publié des mises à jour car son propre moteur de navigateur WebKit, qui alimente Safari et d'autres logiciels Apple, repose également sur les mêmes composants open source. Dans les versions concernées de Safari, la faille pourrait entraîner des plantages inattendus. Bien qu’aucune exploitation active n’ait été signalée contre les utilisateurs de Safari, Apple a rapidement réagi pour bloquer tout vecteur d’attaque possible. Cela inclut les correctifs pour iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9 pour les anciens iPad, watchOS 11.6, tvOS 18.6 et visionOS 2.6.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2025-6558 à sa liste de vulnérabilités exploitées connues le 22 juillet. Les agences fédérales sont tenues d'appliquer les correctifs avant le 12 août en vertu de la directive opérationnelle contraignante 22-01. La CISA a également exhorté tous les défenseurs des réseaux, et pas seulement ceux du secteur public, à donner la priorité aux correctifs, avertissant que les attaquants utilisent généralement des vulnérabilités comme celle-ci pour pirater les systèmes.
La réponse rapide d’Apple met en évidence à quel point les risques de sécurité sont devenus étroitement liés sur toutes les plateformes. La société a indiqué qu’elle ne divulgue ni ne discute des vulnérabilités avant la publication des correctifs. Cela contribue à réduire la fenêtre d’opportunité pour les attaquants. Ces dernières mises à jour font partie de la volonté plus large d’Apple de verrouiller son écosystème, d’autant plus que WebKit est partagé sur iOS, iPadOS et macOS.
Lecture suggérée :Android 16 : la protection avancée empêchera les attaques basées sur l'USB
Les utilisateurs doivent installer ces mises à jour dès que possible et s'assurer que Chrome est également à jour. Parallèlement, les experts en sécurité recommandent les principes de base : restez prudent quant à l'endroit où vous cliquez, restez fidèle aux sites Web de confiance et maintenez tous vos logiciels à jour. Avec cinq autres failles zéro jour déjà corrigées par Apple cette année, y compris des failles critiques de janvier à avril, il est clair qu’il ne s’agit plus que de menaces théoriques. Rester à jour n'est pas seulement une bonne pratique. C’est essentiel.
(viaOrdinateur qui bipe)