Vulnérabilité CVE-2025-24201

Par Mezo en Vulnérabilité

Se traduisent par :

Apple a annoncé la publication d'une mise à jour de sécurité critique pour corriger une vulnérabilité zero-day, identifiée comme CVE-2025-24201. Cette faille, activement exploitée lors d'attaques « extrêmement sophistiquées », affecte le moteur de navigation WebKit. Le problème concerne une vulnérabilité d'écriture hors limites qui pourrait permettre aux attaquants de contourner le sandbox de contenu Web, compromettant ainsi potentiellement la sécurité de l'appareil.

Table des matières

CVE-2025-24201 : les détails techniques

La vulnérabilité CVE-2025-24201 est classée comme une faille d'écriture hors limites, un type de faille permettant aux attaquants de créer du contenu web dangereux et d'exécuter des actions non autorisées. En exploitant cette faille, les attaquants pourraient potentiellement s'extraire du sandbox WebKit et prendre le contrôle de l'appareil affecté. Apple a réagi en mettant en place des contrôles de sécurité renforcés pour empêcher ces actions non autorisées. Ce correctif complète également une attaque antérieure bloquée dans iOS 17.2.

Exploitation active dans les attaques ciblées

Apple a reconnu que la vulnérabilité pourrait avoir été exploitée dans le cadre d'attaques très sophistiquées ciblant des individus spécifiques. Cependant, l'entreprise n'a pas divulgué de détails tels que l'origine des attaques, la base d'utilisateurs ciblée ni la durée de l'exploitation. De plus, on ignore si la faille a été découverte en interne par l'équipe de sécurité d'Apple ou signalée par un chercheur externe.

Appareils et versions de logiciels concernés

La mise à jour de sécurité est disponible pour les appareils et versions logicielles suivants :

iOS 18.3.2 et iPadOS 18.3.2 : iPhone XS et versions ultérieures, iPad Pro 13 pouces (3e génération et versions ultérieures), iPad Pro 12,9 pouces (3e génération et versions ultérieures), iPad Pro 11 pouces (1re génération et versions ultérieures), iPad Air (3e génération et versions ultérieures), iPad (7e génération et versions ultérieures) et iPad mini (5e génération et versions ultérieures).
macOS Sequoia 15.3.2 : Mac exécutant macOS Sequoia.
Safari 18.3.1 : Mac exécutant macOS Ventura et macOS Sonoma.
visionOS 2.3.2 : Apple Vision Pro.

Les efforts continus d’Apple pour remédier aux vulnérabilités zero-day

Il s'agit de la troisième vulnérabilité zero-day corrigée par Apple en 2025. Apple avait déjà corrigé les vulnérabilités CVE-2025-24085 et CVE-2025-24200, soulignant la complexité croissante des cyberattaques ciblant son écosystème. Ces correctifs opportuns soulignent l'importance de se tenir informé des derniers correctifs de sécurité.

Comment rester protégé

Apple recommande vivement aux utilisateurs de mettre à jour leurs appareils immédiatement afin de se protéger contre cette vulnérabilité. Pour mettre à jour vos appareils :

iPhone et iPad : Accédez à Paramètres > Général > Mise à jour logicielle et installez la dernière mise à jour.
Mac : ouvrez Paramètres système > Général > Mise à jour logicielle pour appliquer la dernière mise à jour de macOS.
Safari : les utilisateurs Mac sur Ventura ou Sonoma doivent mettre à jour Safari via Paramètres système > Mise à jour du logiciel.
Apple Vision Pro : mettez à jour visionOS via Paramètres > Général > Mise à jour logicielle.

En restant au courant des mises à jour, les utilisateurs peuvent atténuer le risque d’exploitation de cette vulnérabilité zero-day et améliorer la sécurité de leurs appareils Apple.

La réponse rapide d'Apple à cette faille de sécurité témoigne des efforts constants déployés pour protéger les utilisateurs contre les attaques zero-day sophistiquées. Si le manque de transparence concernant l'ampleur et l'origine des attaques suscite des inquiétudes, le correctif offre une protection essentielle aux appareils concernés. Les utilisateurs doivent privilégier les mises à jour régulières afin de garantir une sécurité continue face à l'évolution des cybermenaces.