
Introduction
Le 29 juin 2026, Apple a publié une série de correctifs pour iOS 26.5.2, iPadOS 26.5.2 et macOS Tahoe 26.5.2. Parmi les vulnérabilités corrigées figure CVE-2026-43722, une faille du noyau (Kernel) permettant à une application malveillante de divulguer un état sensible du noyau. Ce type de fuite d’information est particulièrement recherché par les attaquants car il constitue souvent la première étape d’une chaîne d’exploitation destinée à contourner les protections modernes du système (KASLR notamment) et à obtenir une élévation de privilèges.
Éléments impactés
- iOS 26.5.2 : iPhone 11 et modèles ultérieurs
- iPadOS 26.5.2 : iPad Pro 12,9 pouces (3ᵉ génération) et ultérieurs, iPad Pro 11 pouces (1ʳᵉ génération) et ultérieurs, iPad Air (3ᵉ génération) et ultérieurs, iPad (8ᵉ génération) et ultérieurs, iPad mini (5ᵉ génération) et ultérieurs
- macOS Tahoe 26.5.2
- Date de publication des correctifs : 29 juin 2026
Détail de la vulnérabilité
CVE-2026-43722 — Fuite d’état sensible du noyau
Publication : 2026-06-29 | Composant : Kernel
- Impact officiel Apple (VO) : « An app may be able to leak sensitive kernel state ».
- Traduction : « Une application peut être en mesure de divulguer un état sensible du noyau. »
- Description officielle Apple (VO) : « The issue was addressed with improved input sanitization. »
- Traduction : « Le problème a été corrigé par une meilleure assainissation des entrées. »
- Gravité (CVSS) : Je ne sais pas. Le NIST n’a pas encore attribué de score CVSS à cette CVE au moment de la publication de ce bulletin. Aucun score officiel n’a été communiqué par Apple.
- Chercheurs crédités par Apple : Feng Xue et XGPT de ThreatBook, Hyunwoo Kim (@v4bel).
Pourquoi cette faille compte
Les états internes du noyau (adresses mémoire, pointeurs, jetons de sécurité, structures de données internes) doivent rester hors de portée de l’espace utilisateur. Une fuite de ces données facilite le contournement de KASLR, la mécanique qui protège le noyau en rendant imprévisible l’emplacement de ses fonctions et structures en mémoire. Combinée à une seconde vulnérabilité (corruption mémoire, écriture arbitraire), une telle primitive peut permettre à un attaquant local — c’est-à-dire une application installée sur l’appareil — d’obtenir une élévation de privilèges ou d’échapper au bac à sable applicatif. Sur les plateformes Apple, ce type de primitive est prisé par les acteurs de la sécurité offensive et par les éditeurs de logiciels espions commerciaux.
Recommandations
- Mettre à jour immédiatement vers iOS 26.5.2, iPadOS 26.5.2 ou macOS Tahoe 26.5.2 via Réglages > Général > Mise à jour logicielle (iPhone/iPad) ou Réglages Système > Général > Mise à jour de logiciels (Mac).
- Éviter d’installer des applications provenant de sources non vérifiées (sideloading, canaux de distribution alternatifs) jusqu’à l’application du correctif.
- Contrôler la liste des applications installées et supprimer celles dont l’origine ou l’usage est douteux.
Tableau des références
| Titre de la page du support technique | URL officielle | Date de publication |
|---|---|---|
| About the security content of iOS 26.5.2 and iPadOS 26.5.2 — Apple Support | https://support.apple.com/en-us/127594 | 29 juin 2026 |
| About the security content of macOS Tahoe 26.5.2 — Apple Support | https://support.apple.com/en-us/127595 | 29 juin 2026 |
| Apple security releases — Apple Support | https://support.apple.com/en-us/100100 | 29 juin 2026 |
| NVD – CVE-2026-43722 | https://nvd.nist.gov/vuln/detail/CVE-2026-43722 | 29 juin 2026 |
Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.

En savoir plus sur Les miscellanées Numériques
Subscribe to get the latest posts sent to your email.