C'est le genre d'alerte que l'on ne peut ignorer. Apple somme ses utilisateurs de mettre à jour leurs appareils sans tarder, confronté à une faille critique déjà utilisée par des acteurs malveillants pour mener des attaques ciblées.

Un iPhone durant une mise à jour. © Shutterstock
Un iPhone durant une mise à jour. © Shutterstock
L'info en 3 points
  • Apple publie une mise à jour d’urgence corrigeant une faille critique d’ImageIO (CVE-2025-43300) exploitée activement.
  • La vulnérabilité permet l’exécution de code à distance via une image malveillante provoquant un out-of-bounds write et corruption mémoire.
  • Installez iOS/iPadOS/macOS mis à jour (versions listées) via Réglages > Général > Mise à jour logicielle sans tarder.

Quand la firme de Cupertino prend la parole pour confirmer l'exploitation active d'une vulnérabilité, l'heure n'est plus à la procrastination. Cette mise à jour d'urgence, déployée sur tout l'écosystème, vise à colmater une brèche de sécurité majeure dans le traitement des images.

La mécanique d'une attaque silencieuse

Au cœur du problème, on retrouve une faille baptisée CVE-2025-43300. Elle ne vise pas une application obscure, mais bien ImageIO, le moteur logiciel qui gère l'affichage de la quasi-totalité des images sur votre iPhone, iPad ou Mac. Qu'il s'agisse d'un aperçu dans Fichiers, d'une photo reçue par message ou d'une image sur une page web, ImageIO est à la manœuvre.

Le danger réside dans sa simplicité d'exploitation : il suffit de faire en sorte que la victime ouvre ou affiche une image spécifiquement conçue pour être malveillante. Le défaut technique permet alors de corrompre la mémoire de l'appareil, ouvrant une porte dérobée pour exécuter du code à distance et prendre potentiellement le contrôle du système.

Une menace réelle et une réponse globale

Apple a été inhabituellement direct dans sa communication, admettant être au courant « d'un rapport indiquant que ce problème pourrait avoir été exploité dans une attaque extrêmement sophistiquée ». Ce langage, rare pour la marque, signale que la menace n'est pas théorique et vise probablement des individus spécifiques à l'aide de logiciels espions coûteux, souvent liés à des entités étatiques. La correction a été déployée simultanément sur plusieurs versions des systèmes d'exploitation Apple. Les utilisateurs doivent installer :

  • iOS 18.6.2 pour iPhone XS et versions ultérieures

  • iPadOS 18.6.2 pour les iPad compatibles

  • iPadOS 17.7.10 pour les modèles plus anciens

  • macOS Sequoia 15.6.1macOS Sonoma 14.7.8 et macOS Ventura 13.7.8 pour les Mac

Pour installer la mise à jour, il suffit de se rendre dans Réglages > Général > Mise à jour logicielle sur iPhone et iPad, ou dans les Réglages Système sur Mac. La mise à jour pèse environ 738 Mo sur iPhone 16 Pro Max.

Source : 9to5mac