Faille critique chez Apple, les mises à jour disponibles

Mardi soir, Apple a publié une série de mises à jour intermédiaires pour ses plateformes : iOS/iPadOS 18.6, macOS 15.6, watchOS 11.6 et tvOS 18.6. Ces versions n’ont rien de vraiment important à apporter sur le plan fonctionnel, mais elles corrigent divers bugs et soucis de sécurité.

Or, parmi ces derniers, on a appris hier qu’il y avait une faille 0-day. Comme l’indique Bleeping Computer, la vulnérabilité – estampillée CVE-2025-6558 – est critique, avec un score CVSS de 8,8 sur 10. La faille réside dans la validation incorrecte d’une entrée non fiable dans la couche d’abstraction graphique ANGLE (Almost Native Graphics Layer Engine). Cette dernière s’occupe de traiter les commandes GPU et de traduire les appels de l’API OpenGL ES vers d’autres API graphique, selon la plateforme utilisée (Direct3D, Metal, Vulkan ou OpenGL).

Exploitée, la faille permet l’exécution à distance d’un code arbitraire, sans autre intervention de l’utilisateur que l’ouverture d’une page web spécialement conçue. L’exploitation permet d’échapper en partie à la sandbox du navigateur.

La faille a été découverte par deux chercheurs du Threat Analysis Group de Google, Vlad Stolyarov et Clément Lecigne. Résidant dans le moteur ANGLE, on la retrouve donc dans Chrome, dans lequel elle a été corrigée le 15 juillet par Google. La société, dans un bulletin de sécurité, a d’ailleurs confirmé que la faille était déjà exploitée.

De son côté, Apple donne peu de détails, se contentant d’indiquer que « le traitement d’un contenu Web malveillant peut entraîner un blocage inattendu de Safari ».

La faille étant activement exploitée, il est recommandé de mettre à jour les appareils aussi rapidement que possible.