Apple vient d’alerter sur une vulnérabilité touchant un composant central du système, susceptible d’avoir été exploitée dans des attaques ciblées. L’éditeur relie le signalement à deux failles WebKit corrigées en décembre, ce qui laisse entrevoir un enchaînement d’exploitation très élaboré.
Parmi la quarantaine de failles corrigées dans les mises à jour macOS Tahoe 26.3 et iOS 26.3, une seule avait déjà été repérée et exploitée avant la mise à jour. Logée dans dyld, le composant système responsable du chargement et de la liaison des bibliothèques au lancement des applications, elle pouvait permettre l’exécution de code arbitraire sur l’appareil ciblé, à condition d’avoir déjà obtenu une capacité d’écriture en mémoire. Apple indique être au courant d’un rapport selon lequel la faille aurait été utilisée dans des attaques visant des individus bien identifiés, dans le cadre d’une attaque qualifiée d’« extrêmement sophistiquée ».
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une faille bas niveau dans un composant central du système
Référencée sous le numéro CVE-2026-20700, la faille repose sur un problème de corruption mémoire que l’éditeur dit avoir corrigé via une amélioration de la gestion d’état. Apple ne donne pas davantage de détails techniques, mais précise qu’un attaquant disposant déjà d’une capacité d’écriture en mémoire peut exécuter du code arbitraire sur l’appareil ciblé.
Pour rappel, dyld intervient dès le lancement d’une application, au moment où le système charge et lie les bibliothèques dont elle a besoin pour démarrer. Par conséquent, une exécution de code à ce moment-là peut offrir un contrôle plus stable sur le processus, fiabiliser l’exploitation de la faille et faciliter la suite de l’attaque.
Une chaîne d’attaque pensée pour des cibles précises
Apple ne précise pas comment CVE-2026-20700 a été exploitée ni dans quel contexte exact, mais elle la relie toutefois à deux autres failles signalées en décembre. À l’époque, deux vulnérabilités WebKit, patchées depuis, permettaient de déclencher l’exécution de code à distance via l’affichage d’un contenu web malveillant.
La première, CVE-2025-14174, visait la bibliothèque graphique ANGLE intégrée à WebKit. Elle reposait sur un dépassement mémoire lors du traitement de certaines données visuelles. La seconde, CVE-2025-43529, exploitait un use-after-free classique dans le moteur de rendu, avec là aussi la possibilité de corrompre la mémoire pour injecter du code.
Le scénario envisagé pourrait alors reposer sur un enchaînement coordonné, WebKit comme point d’entrée, dyld comme point d’ancrage plus bas dans le système. L’ensemble a été signalé par la Threat Analysis Group de Google, à l’origine de plusieurs découvertes liées à des campagnes menées par des groupes étatiques ou commerciaux spécialisés dans la surveillance ciblée.
Apple précise que seules des personnes spécifiquement visées ont été concernées, et que les correctifs sont disponibles depuis décembre pour les premières failles dans WebKit, et depuis le 11 février dans iOS 26.3 et iPadOS 26.3, ainsi que dans macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 et visionOS 26.3.
