Apple a publié mercredi des mises à jour pour iOS, iPadOS, macOS Tahoe, tvOS, watchOS et visionOS afin de corriger une faille zero-day qui, selon l’entreprise, a été exploitée dans des cyberattaques sophistiquées.

La vulnérabilité, référencée CVE-2026-20700 (score CVSS : non disponible), est un problème de corruption de mémoire dans dyld, l’éditeur de liens dynamiques d’Apple. Son exploitation permettrait à un attaquant disposant d’autorisations d’écriture en mémoire d’exécuter du code arbitraire sur les appareils vulnérables. Le groupe d’analyse des menaces de Google (TAG) est à l’origine de la découverte et du signalement de cette faille.

« Apple a pris connaissance d’un rapport indiquant que cette vulnérabilité aurait pu être exploitée dans le cadre d’une attaque extrêmement sophistiquée visant des utilisateurs spécifiques sur des versions d’iOS antérieures à iOS 26 », a déclaré l’entreprise dans un avis de sécurité. « Les CVE-2025-14174 et CVE-2025-43529 ont également été publiées suite à ce rapport. »

Il convient de noter que les vulnérabilités CVE-2025-14174 et CVE-2025-43529 ont été corrigées par Apple en décembre 2025. La première a été initialement révélée par Google comme ayant été exploitée. CVE-2025-14174 (score CVSS : 8,8) concerne un accès mémoire hors limites dans le composant de rendu Metal d’ANGLE. Metal est une API de calcul et de traitement graphique haute performance, accélérée par le matériel et développée par Apple.

CVE-2025-43529 (score CVSS : 8,8), en revanche, est une vulnérabilité d’utilisation après libération dans WebKit qui peut conduire à l’exécution de code arbitraire lors du traitement de contenu Web conçu de manière malveillante.

Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants :

• iOS 26.3 et iPadOS 26.3 – iPhone 11 et modèles ultérieurs, iPad Pro 12,9 pouces (3e génération) et modèles ultérieurs, iPad Pro 11 pouces (1re génération) et modèles ultérieurs, iPad Air (3e génération) et modèles ultérieurs, iPad (8e génération) et modèles ultérieurs, et iPad mini (5e génération) et modèles ultérieurs
• macOS Tahoe 26.3 – Macs exécutant macOS Tahoe
• tvOS 26.3 – Apple TV HD et Apple TV 4K (tous modèles)
• watchOS 26.3 – Apple Watch Series 6 et versions ultérieures
• visionOS 26.3 – Apple Vision Pro (tous modèles)

Par ailleurs, Apple a également publié des mises à jour pour corriger diverses vulnérabilités dans les anciennes versions d’iOS, d’iPadOS, de macOS et de Safari.

• iOS 18.7.5 et iPadOS 18.7.5 – iPhone XS, iPhone XS Max, iPhone XR, iPad 7e génération
• macOS Sequoia 15.7.4 – Macs exécutant macOS Sequoia
• macOS Sonoma 14.8.4 – Macs exécutant macOS Sonoma
• Safari 26.3 – Macs exécutant macOS Sonoma et macOS Sequoia

Suite à cette dernière évolution, Apple s’est engagée à corriger sa première faille zero-day activement exploitée en 2026. L’année dernière, la société a corrigé neuf vulnérabilités zero-day qui avaient été exploitées publiquement.