Lorsque Apple a abandonné iOS 18.6 cette semaine, il n’a pas expédié un tas de nouvelles fonctionnalités et changements. En effet, lorsque vous mettez à jour votre iPhone, il apparaîtra exactement comme il a fait l’exécution de iOS 18.5. Sous le capot, cependant, la mise à jour a introduit plus de 20 correctifs pour les vulnérabilités de sécurité sur iOS, ce qui en fait une mise à jour de sécurité importante pour tous les appareils compatibles.
Lorsque Apple a publié ses billets de sécurité pour la mise à jour, cela n’a pas indiqué si l’un des défauts était zéro jour – en d’autres termes, si l’un des défauts avait été exploité ou divulgué publiquement avant qu’un correctif ne soit facilement disponible. Cela met l’utilisateur à un avantage, car il suggère que de mauvais acteurs n’ont pas compris comment profiter des défauts désormais fixés. Cependant, il s’avère que l’un de ces défauts était activement exploité – non contre un produit Apple.
La vulnérabilité en question est suivie comme CVE-2025-6558. Selon les notes de version d’Apple, il s’agit d’un défaut qui pourrait s’écraser Safari lors du traitement du contenu Web malveillant. Comme le l’indique Apple, la vulnérabilité n’est pas un défaut spécifique à l’iOS; C’est plutôt une vulnérabilité dans le code open source, et le logiciel d’Apple est affecté.
Bien qu’Apple affirme que cette vulnérabilité n’a pas été exploitée contre le logiciel Apple, au moins au moment où les notes de version ont été publiées, un logiciel qui semble avoir été activement exploité à l’aide de ce défaut est Google Chrome. Comme indiqué par Bleeping Computer, CVE-2025-6558 peut permettre aux mauvais acteurs d’exécuter leur propre code dans le processus de GPU de Chrome lors de la visite de sites Web malveillants. Cela pourrait permettre aux pirates de pénétrer dans le système d’exploitation de la machine de la cible. Si vous utilisez un produit Apple, cela signifierait que iOS, MacOS, iPados, TVOS, VisionOS ou Watchos pourraient être compromis à partir de cette attaque. (Apple a publié des mises à jour de sécurité pour toutes ces ESO, respectivement.)
Le défaut est une affaire sérieuse: l’agence de sécurité de cybersécurité et d’infrastructure (CISA) a répertorié cette faille parmi son catalogue de vulnérabilités exploité connu, et exige désormais que les agences fédérales mettent à jour leur logiciel d’ici le 12 août.
Protéger vos appareils de ce jour zéro
Pour vous assurer de protéger vos appareils de cette vulnérabilité, vous voudrez mettre à jour tout le matériel et les logiciels affectés. Cela signifie que vous voudrez mettre à jour tous les appareils Apple vers iOS 18.6, et si vous utilisez Chrome ou un navigateur basé sur le chrome (comme Microsoft Edge ou Opera), vous voudrez le mettre à jour vers la dernière version.
Vous pouvez généralement installer des mises à jour Apple, comme sur un iPhone, à partir de Paramètres> Général> Mise à jour logicielle. Sur Chrome, cliquez sur les trois points en haut à droite, puis allez à Aide> sur Google Chrome.
