Name: Tremplin Numérique
Price range: $$$

Il est toujours bon de voir les entreprises rester au top des jours zéro – vous ne pouvez pas les aider, mais vous souhaitez minimiser la quantité d'utilisateurs qui peuvent être affectés par cela. Maintenant, Apple vient de corriger une vulnérabilité zéro-jour sur WebKit, et c'est en fait assez intéressant.

Apple vient de corriger une faille de sécurité qui était exploitée dans la nature. La faille, suivie sous forme de CVE-2025-24201, découle du moteur de navigateur WebKit, le moteur de navigateur de base utilisé dans Safari. Selon Apple, « il s'agit d'une correction supplémentaire pour une attaque qui a été bloquée dans iOS 17.2 », et il a ajouté que la société était « consciente d'un rapport que ce problème peut avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques sur les versions d'iOS avant iOS 17.2. »

La vulnérabilité elle-même est un problème d'écriture hors limites qui permet aux attaquants de créer un contenu Web malveillant qui peut sortir du contenu Web Sandbox. En échappant aux limites du navigateur Web, les attaquants pourraient potentiellement exécuter du code arbitraire et prendre le contrôle des appareils affectés. Le problème lui-même n'était qu'une porte ouverte pour les attaques ciblées plutôt qu'une exploitation généralisée, et il ne semble pas être largement exploité. Pourtant, si vous êtes ciblé par un attaquant avec cette vulnérabilité, les conséquences pourraient être désastreuses.

Le problème affectait les appareils suivants:

iPhone XS et modèles ultérieurs
iPad Pro 13 pouces
iPad Pro 12,9 pouces 3e génération et plus tard
iPad Pro 11 pouces 1ère génération et plus tard
iPad Air 3e génération et plus tard
iPad 7e génération et plus tard
iPad mini 5e génération et plus tard
Ordinateurs Mac exécutant macOS Sequoia
Apple Vision Pro

Apple a déclaré avoir résolu le problème avec des vérifications améliorées dans les dernières mises à jour logicielles, y compris iOS 18.3.2, iPados 18.3.2, macOS Sequoia 15.3.2, VisionOS 2.3.2 et Safari 18.3.1. Si vous avez un appareil affecté, ce serait la bonne décision d'aller de l'avant et de télécharger la mise à jour dès que vous en aurez l'occasion. Vous n'êtes probablement pas ciblé par quiconque serait disposé à exploiter cela, mais il est néanmoins en raison de rester au courant de vos mises à jour de sécurité.

Il s'agit en fait de la troisième vulnérabilité zéro jour qu'Apple a corrigé depuis le début de 2025. Plus tôt cette année, Apple a abordé CVE-2025-24085 en janvier et CVE-2025-24200 en février. Il est bon de voir l'entreprise rester au courant de ces types de vulnérabilités zéro jour – bien que ce problème spécifique ne puisse être exploité qu'avec des attaques ciblées « sophistiquées », il y a eu des cas de vulnérabilités qui sont beaucoup plus faciles à exploiter et, par conséquent, un danger pour les gens moyens.

En rapport

iOS 18.4 apporte enfin la messagerie RCS à Google Fi et à d'autres transporteurs T-Mobile

Cela n'a pris que cinq mois!

Les jours zéro, par définition, sont des vulnérabilités qui sont inconnues du fournisseur de logiciels, ce qui signifie qu'il n'y a pas de correctif disponible lorsque la faille est découverte ou exploitée pour la première fois. Comme nous l'avons dit plus tôt, les entreprises ne peuvent probablement pas les aider, même si elles essaient de rester au courant des problèmes de sécurité et de consacrer de vastes ressources pour trouver des défauts par eux-mêmes. Ainsi, le bon mouvement ici est de proposer une correction à déployer le plus rapidement possible pour minimiser la quantité d'utilisateurs qui sont réellement affectés.

Le logiciel patch devrait être déployé maintenant, alors assurez-vous de frapper la mise à jour dès que vous le pouvez.