Apple mardi libéré Une mise à jour de sécurité pour aborder une faille zéro-jour qui, selon elle, a été exploitée dans des attaques “extrêmement sophistiquées”.
La vulnérabilité a été attribuée à l’identifiant CVE CVE-2025-24201 et est enracinée dans le composant du moteur Web de navigateur Webkit.
Il a été décrit comme un problème d’écriture hors limites qui pourrait permettre à un attaquant de fabriquer du contenu Web malveillant de sorte qu’il peut sortir du contenu Web Sandbox.
Apple a déclaré qu’il avait résolu le problème avec des chèques améliorés pour empêcher les actions non autorisées. Il a également noté qu’il s’agit d’une solution supplémentaire pour une attaque qui a été bloquée dans iOS 17.2.
En outre, il a reconnu que la vulnérabilité “pourrait avoir été exploitée dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques sur les versions d’iOS avant iOS 17.2”.
Cependant, l’avis ne mentionne pas si l’équipe de sécurité d’Apple a découvert le défaut ou si elle lui a été signalée par un chercheur externe. Il ne mentionne pas non plus quand les attaques ont commencé, combien de temps ils ont duré et qui a été ciblé.
La mise à jour est disponible pour les appareils et versions du système d’exploitation suivantes –
- iOS 18.3.2 et iPados 18.3.2 – iPhone XS et ultérieurement, iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et plus tard, iPad Pro 11 pouces 1ère génération et plus tard, iPad Air 3e génération et plus tard, iPad 7e génération et plus tard, et iPad Mini 5e génération et plus tard
- macOS Sequoia 15.3.2 – Mac exécutant macOS Sequoia
- Safari 18.3.1 – Mac exécutant macOS Ventura et macOS Sonoma
- VisionOS 2.3.2 – Apple Vision Pro
Avec le dernier développement, Apple a abordé un total de trois zéro-jours exploités activement dans son logiciel depuis le début de l’année, les deux autres étant CVE-2025-24085 et CVE-2025-24200.


