:quality(90)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg)
Apple a déployé une mise à jour de sécurité d’urgence pour corriger une vulnérabilité critique, exploitée activement par des attaquants, affectant l’ensemble de son écosystème : iPhone, iPad, Mac, Apple Watch, Apple TV et Vision Pro. Cette faille, découverte par Google, permet potentiellement à des pirates d’accéder complètement à un appareil.
La vulnérabilité, référencée CVE-2026-20700, se situe dans le Dynamic Link Editor (dyld), un composant essentiel du système d’exploitation Apple chargé du chargement sécurisé des applications. Selon Apple, elle permet à un attaquant disposant de droits d’écriture d’exécuter du code arbitraire sur la mémoire de l’appareil. Le score CVSS de cette vulnérabilité est de 7,8 sur 10, indiquant un niveau de gravité élevé.
Apple précise avoir été informée que cette faille a été utilisée dans le cadre d’une attaque « extrêmement sophistiquée » ciblant des utilisateurs d’iOS antérieurs à la version 26. L’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a également confirmé l’exploitation active de cette vulnérabilité en l’inscrivant dans son catalogue KEV.
La correction de CVE-2026-20700 a conduit à la découverte et à la résolution de deux vulnérabilités supplémentaires : EUVD-2025-203113 / CVE-2025-14174 (score CVSS de 8,8) et EUVD-2025-203963 / CVE-2025-43529 (score CVSS de 8,8). La première affecte la couche d’abstraction graphique ANGLE dans Google Chrome sur Mac et permettait à un attaquant d’accéder à la mémoire via une page web falsifiée. La seconde, un bug d’utilisation de mémoire après libération, pouvait permettre l’exécution de code arbitraire via le traitement de contenus web manipulés.
Les correctifs pour ces vulnérabilités sont inclus dans les dernières versions des systèmes d’exploitation Apple : watchOS 26.3, tvOS 26.3, macOS Tahoe 26.3, visionOS 26.3, iOS 26.3 et iPadOS 26.3. Apple recommande vivement à tous ses utilisateurs de mettre à jour leurs appareils dès que possible et d’activer les mises à jour automatiques pour garantir une protection optimale.
Le système de notation EPSS (Exploit Prediction Scoring System) indique une probabilité d’exploitation de ces vulnérabilités dans les 30 prochains jours, avec des scores variant dans le temps. À la date de publication de cet article, EUVD-2025-203113 / CVE-2025-14174 affiche un score EPSS de 0,65, tandis que EUVD-2025-203963 / CVE-2025-43529 affiche un score de 0,02.