Exploitée dans le cadre d’une attaque « extrêmement sophistiquée », une vulnérabilité critique a été corrigée rapidement par Apple. Elle touche iOS, iPadOS et MacOS.
C’est la sixième fois cette année qu’Apple décide de pousser en urgence des mises à jour de ses principaux OS pour corriger une faille critique. La CVE-2025-43300 est une vulnérabilité de dépassement d’écriture dans le framework Image I/O. Ce dernier permet aux applications de lire et écrire la plupart des formats de fichiers image. Concrètement, « le traitement d’un fichier image malveillant peut entraîner une corruption de la mémoire », glisse l’entreprise. La conséquence est le plantage du programme, la corruption de données ou, dans le pire des cas, l’exécution de code à distance.
Cette faille de type zero-day a été exploitée, rapporte Apple dans son avis de sécurité. Il souligne qu’un rapport montre qu’elle a servi « dans le cadre d’une attaque extrêmement sophistiquée visant des individus spécifiques ». La société n’a pas donné plus de détails, ni attribué la découverte de la vulnérabilité.
Une faille qui touche une longue liste de terminaux
La firme de Cupertino a corrigé le problème « grâce à une amélioration du contrôle des limites d’écriture ». Des mises à jour ont été publiées au sein d’iOS 18.6.2 et iPadOS 18.6.2, iPadOS 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8 et MacOS Ventura 13.7.8. La liste des terminaux concernés par la faille est longue, car elle touche aussi bien les anciens modèles que les récents : iPhone XS et ultérieurs, iPad Pro 13 et 12,9’’ de 3ème génération et ultérieurs, iPad Pro 11 de 1ère génération et plus, iPad Air 3ème génération et plus, iPad mini 5ème génération et plus, , iPad Pro 12,9’’ 2ème génération, iPad Pro 10,5’’ et iPad 6ème génération et les Mac fonctionnant sous MacOS Sequoia, Sonoma et Ventura.
Il est fortement recommandé d’installer rapidement les mises à jour de sécurité afin de prévenir toute attaque potentielle. Apple a corrigé 5 failles de type zero-day depuis le début de l’année. La première en janvier (CVE-2025-24085), la deuxième en février (CVE-2025-24200), la troisième en mars (CVE-2025-24201) et deux autres en avril (CVE-2025-31200 et CVE-2025-31201).