La mise à jour urgente Apple s’impose: une faille zero-day critique touche iPhone, iPad et Mac, déjà exploitée dans la nature — Apple publie un correctif d’urgence pour CVE-2025-43300, liée à Image I/O; mettez à jour sans attendre.
Pourquoi cette faille est si préoccupante
CVE-2025-43300 est une vulnérabilité de type out-of-bounds write dans le framework Image I/O. Le traitement d’une image piégée peut provoquer une corruption mémoire et permettre l’exécution de code arbitraire, ouvrant la voie à la prise de contrôle, à l’espionnage ou au vol de données.
Apple indique que la faille a été exploitée dans une attaque extrêmement sophistiquée visant des individus ciblés, ce qui renforce l’urgence de la mise à jour urgente Apple.
Appareils et versions corrigées
- iOS 18.6.2 / iPadOS 18.6.2 (iPhone XS et ultérieurs; iPad Pro 13”; iPad Pro 12,9” 3e gén+; iPad Pro 11” 1re gén+; iPad Air 3e gén+; iPad 7e gén+; iPad mini 5e gén+)
- iPadOS 17.7.10 pour certains iPad plus anciens
- macOS Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8
Mettez à jour via Réglages > Général > Mise à jour logicielle (iPhone/iPad) ou Réglages Système > Général > Mise à jour de logiciels (Mac).
Comment l’attaque fonctionne
Une image malveillante, envoyée par email, messagerie ou affichée sur un site/app, déclenche le parsing via Image I/O. La faille provoque une corruption mémoire et peut permettre une exécution de code. D’où la mise à jour urgente Apple.
Contexte sécurité: une année sous tension
Apple a déjà colmaté plusieurs zero-days exploités en 2025 (dont CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201). Un bug Safari (CVE-2025-6558) a aussi été corrigé, signalé exploité côté Chrome. La tendance confirme la sophistication des acteurs.
Méthodes de mitigation immédiates
- Appliquer la mise à jour urgente Apple sur tous les appareils impactés
- Activer les mises à jour automatiques pour réduire la fenêtre d’exposition
- Limiter les aperçus automatiques d’images dans les environnements à haut risque
- Surveiller les journaux et comportements anormaux des endpoints d’entreprise
- Sensibiliser: une image peut être un vecteur d’attaque; maintenir une vigilance accrue
Impact pour entreprises et grand public
En entreprise, le parsing d’images est omniprésent (email, messageries, navigateurs, DAM, apps métiers). Un terminal non patché suffit pour un pivot latéral. Côté grand public, même si l’attaque est ciblée, la mise à jour urgente Apple ferme une faille critique et protège contre d’éventuelles campagnes plus larges.
FAQ express
Faut-il éviter d’ouvrir des images ? La priorité reste la mise à jour; le risque lié à CVE-2025-43300 est neutralisé après correctif.
Mon iPhone est-il concerné ? iPhone XS et modèles ultérieurs sont impactés; installez iOS 18.6.2.
Mon Mac est-il concerné ? Oui, installez Sequoia 15.6.1, Sonoma 14.7.8 ou Ventura 13.7.8 selon votre version.
Que pensez-vous de cette montée des zero-days sur Apple ? Faut-il revoir nos politiques de mise à jour et de durcissement côté entreprise ?
Ça y est, c’est déjà fait.
Merci de nous avoir informé(e)s