Pour vous protéger de failles zero-day, Apple a publié des correctifs pour les anciens iPhone et Mac
Apple a publié de nouvelles mises à jour de sécurité pour ses appareils, y compris pour d'anciennes versions de ses systèmes d'exploitation, afin de protéger un maximum d’utilisateurs. Ce n'est pas un hasard : il s'agit de failles zero-day activement exploitées. Faisons le point.
Des correctifs de sécurité pour iOS 15 et iOS 16, et ce n'est pas tout
De nouveaux appareils vont bénéficier d'un correctif pour la faille de sécurité CVE-2025-24200, découverte par Citizen Lab et déjà corrigée par Apple le mois dernier. En effet, ce problème avait été initialement patché par Apple dans iOS 18.3.1, iPadOS 18.3.1 et 17.7.5, publiés le 10 février 2025. Cette vulnérabilité permet de désactiver le "Mode USB restreint" sur des appareils verrouillés et ce correctif a notamment pour objectif de bloquer certains logiciels comme GrayKey et Cellebrite.
Apple a également pris la décision de mettre au point un nouveau patch pour la faille de sécurité CVE-2025-24201 présente dans le moteur WebKit. Elle permet aux pirates d'exécuter du contenu web malveillant pour sortir de la sandbox de Web Content. Apple a averti que cette vulnérabilité avait été exploitée dans des attaques "extrêmement sophistiquées". Elle a été corrigée le 11 mars 2025 dans iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 et Safari 18.3.1.
Une troisième faille de sécurité, associée à la référence CVE-2025-24085 et déjà patchée fin janvier 2025, a le droit aussi à un nouveau correctif.
Désormais, si vous utilisez un appareil exécutant une ancienne version d'iOS ou d'iPadOS, sachez que vous pouvez bénéficier de ces correctifs de sécurité. Apple a mis en ligne les versions iOS 16.7.11 et 15.8.4, ainsi que dans iPadOS 16.7.11 et 15.8.4 pour la CVE-2025-24200 et la CVE-2025-24201. En complément, l'entreprise américaine a publié iPadOS 17.7.6, macOS 14.7.5 (Sonoma) et macOS 13.7.5 (Ventura) pour intégrer un correctif pour la CVE-2025-24085.
Des mises à jour de sécurité pour les versions récentes
Outre ces correctifs de sécurité pour les anciennes versions de ses systèmes, Apple a publié des mises à jour pour ses versions les plus récentes. Le moins que l'on puisse dire, c'est qu'il y a une quantité de correctifs non négligeable. Tout d'abord, la mise à jour iOS 18.4 et iPadOS 18.4 corrige un ensemble de 77 vulnérabilités, dont celles-ci :
- CVE-2025-30456 : contournement de la sandbox permettant une élévation de privilège root
- CVE-2025-24097 : accès non autorisé aux métadonnées de fichiers, par l'intermédiaire de AirDrop
- CVE-2025-31182 : une application peut être en mesure de supprimer des fichiers pour lesquels elle n'a pas d'autorisation
Cela ne s'arrête pas là puisque macOS Sequoia 15.4 intègre des correctifs pour 123 vulnérabilités, notamment trois vulnérabilités qui méritent une attention particulière :
- CVE-2025-24228 : exécution de code arbitraire avec privilèges du noyau
- CVE-2025-24267 : élévation de privilège sur l'appareil, afin d'obtenir les privilèges root
- CVE-2025-24178 : contournement du mécanisme de sandbox
Enfin, par ailleurs, le navigateur Safari passe en version 18.4. Une nouvelle version qui corrige 13 failles de sécurité.
À l'heure actuelle, aucune faille zero-day activement exploitée n'a été signalée dans ces mises à jour récentes. Malgré tout, la situation peut rapidement évoluer, donc il est conseillé d'installer ces correctifs.
