Apple a cette semaine un correctif pour une vulnérabilité WebKit (CVE-2026-20643), laquelle permettait à un site malveillant de contourner les protections du navigateur et d'accéder aux données d'un autre site. Le patch s'installe en arrière-plan, sans mise à jour complète du système.
La faille, découverte par le chercheur Thomas Espach, touche WebKit - le moteur de rendu qui gère l'affichage des pages web dans Safari, mais aussi dans Mail et plusieurs apps tierces sur tous les appareils Apple. Elle survient un peu plus d'un mois après une première faille zero-day activement exploitée sur iOS et macOS, et une semaine après des correctifs contre l'exploit Coruna.
Quand un site peut lire les données d'un autre
On le sait, sur iOS, Apple impose WebKit et a mis en place diverses restrictions afin de décourager les développeurs d'y porter leur moteur de rendu. Quand une faille survient au sein de Webkit, il est donc urgent pour Apple de la corriger rapidement puisqu'elle concerne aussi bien Safari que Chrome ou Firefox.
Le problème se situe dans l'API Navigation, l'interface qui gère les transitions entre les pages d'un site. Un défaut dans la validation des données entrantes permettait de contourner la valeur "same-origin policy". Pour mémoire, cette règle interdit à un site d'accéder au contenu d'un autre. Sans elle, une page malveillante pourrait lire votre session active sur un service tiers, ou récupérer des informations affichées dans un autre onglet.
Pour exploiter la faille, un attaquant devait attirer sa cible sur une page frauduleuse. Celle-ci pouvait ensuite usurper l'identité d'un domaine de confiance et tenter d'exfiltrer des données normalement isolées. Apple a résolu le problème en renforçant la validation des données à l'entrée de l'API Navigation.
Un patch sans redémarrage
Apple distribue ce correctif via les "Background Security Improvements". Ce mécanisme déploie des patchs ciblés entre deux versions majeures, sans redémarrage ni mise à jour complète du système. Il s'applique uniquement à des composants spécifiques : Safari, WebKit et certaines bibliothèques système.
Le patch couvre iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 et macOS 26.3.2. Une fois installé, le numéro de version affiche un "(a)" - par exemple "iOS 26.3.1 (a)". Aucune exploitation active de CVE-2026-20643 n'a été signalée à ce stade, mais ce type de faille reste attractif : combiné à d'autres vulnérabilités, il peut permettre de compromettre un compte ou d'intercepter des données sensibles.
Pour vérifier l'installation, ouvrez les "Réglages" sur iPhone ou iPad, puis "Confidentialité et sécurité". Sur Mac, rendez-vous dans "Réglages Système" puis faites défiler jusqu'à la section correspondante. Si l'installation automatique est activée, le patch s'applique sans intervention. Il est également possible de le retirer manuellement, votre appareil revient alors à la version de base, sans le correctif appliqué.
