Selon Cyber Security News, Apple a publié le 12 décembre 2025 les mises à jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploités, ainsi que plus de 30 vulnérabilités supplémentaires touchant plusieurs composants. 🚨
0‑days WebKit activement exploités
- CVE-2025-43529 (WebKit): vulnérabilité de use-after-free permettant une exécution de code arbitraire via du contenu web malveillant; découverte par Google Threat Analysis Group (TAG).
- CVE-2025-14174 (WebKit): corruption mémoire; créditée à Apple et Google TAG.
- Les deux failles sont liées à des campagnes de spyware ciblées, ciblant des utilisateurs spécifiques d’iPhone sur des versions antérieures à iOS/iPadOS 26.
Autres correctifs critiques 🛠️
- Kernel — CVE-2025-46285: dépassement d’entier menant à une élévation de privilèges root (Kaitao Xie, Xiaolong Bai, Alibaba Group).
- Screen Time — CVE-2025-46277, CVE-2025-43538: failles de journalisation pouvant exposer l’historique Safari ou des données utilisateur (dont Kirin @Pwnrin).
- WebKit: correctifs supplémentaires pour confusion de types, dépassements de tampon et crashs (ex. CVE-2025-43541, CVE-2025-43501).
- Open source: correctifs pour libarchive (CVE-2025-5918) et curl (CVE-2024-7264, CVE-2025-9086).
Appareils concernés et versions
- Impact: iPhone 11 et modèles ultérieurs, iPad Pro 12,9" (3e gén+), iPad Pro 11" (1re gén+), iPad Air (3e gén+), iPad (8e gén+), iPad mini (5e gén+).
- Version corrigée: iOS/iPadOS 26.2 (les exploits visaient des versions pré‑26).
Contexte et menace
- Les attaques sont décrites comme sophistiquées et ciblées; la collaboration Apple–Google TAG est mise en avant, soulignant des menaces de niveau étatique.
Type d’article: patch de sécurité. Objectif principal: informer sur des vulnérabilités critiques (dont 0‑days exploités) et les correctifs disponibles.
🔗 Source originale : https://cybersecuritynews.com/apple-0-day-vulnerabilities-exploited-2/