
Introduction
Apple a corrigé, dans les mises à jour publiées le 29 juin 2026, une vulnérabilité mémoire affectant le composant WebRTC de WebKit, le moteur de rendu web utilisé par Safari et intégré au niveau système sur les plateformes Apple. Identifiée sous la référence CVE-2026-43746, cette faille peut, à partir d’un simple contenu web piégé, provoquer l’arrêt inattendu de Safari. Pour tout utilisateur de Safari, iOS, iPadOS ou macOS Tahoe, l’application des correctifs Safari 26.5.2, iOS/iPadOS 26.5.2 et macOS Tahoe 26.5.2 est fortement recommandée.
Éléments impactés
- Safari : versions antérieures à 26.5.2 — corrigé dans Safari 26.5.2
- iOS et iPadOS : versions antérieures à 26.5.2 — corrigé dans iOS 26.5.2 et iPadOS 26.5.2
- macOS Tahoe : versions 26.0 à 26.5.2 (exclus) — corrigé dans macOS Tahoe 26.5.2
- Date de publication du correctif : 29 juin 2026
Détails
CVE-2026-43746 — Use-after-free dans WebRTC (WebKit)
Publication : 2026-06-29 | Framework : WebKit (composant WebRTC)
Description officielle Apple / NVD :
« A use-after-free issue was addressed with improved memory management. This issue is fixed in Safari 26.5.2, iOS 26.5.2 and iPadOS 26.5.2, macOS Tahoe 26.5.2. Processing maliciously crafted web content may lead to an unexpected Safari crash. »
Explication vulgarisée : Il s’agit d’un défaut de type « use-after-free » (CWE-416). Ce type de bug survient lorsqu’un programme continue d’utiliser un pointeur vers une zone mémoire qui a déjà été libérée. Dans ce cas précis, un site web malveillant peut fabriquer un contenu spécifique qui déclenche la libération prématurée d’un objet WebRTC toujours référencé. Le résultat immédiat observé est un crash de Safari.
Gravité : Score CVSS 3.1 attribué par CISA-ADP : 6.5 (MEDIUM) — vecteur AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H. L’attaque est réalisable à distance via le réseau (AV:N), de faible complexité (AC:L), sans privilège requis (PR:N), mais nécessite une interaction utilisateur — typiquement la visite d’une page web (UI:R). L’impact direct porte sur la disponibilité (A:H), avec un crash du processus Safari.
Portée réelle : Historiquement, les failles use-after-free dans WebKit peuvent, lorsqu’elles sont chaînées à d’autres primitives, devenir des vecteurs d’exécution de code arbitraire. La mise à jour vers les versions corrigées est donc à traiter comme prioritaire, même si l’impact directement documenté reste un déni de service côté client.
Attribution : Correctif référencé par Apple sous le composant « WebRTC » (WebKit Bugzilla 314090), attribué à dr3dd.
Recommandations
- Installer sans délai Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 ou macOS Tahoe 26.5.2 selon les appareils utilisés.
- Sur les appareils gérés en flotte, vérifier la conformité du parc via MDM et forcer la mise à niveau si besoin.
- Éviter, en attendant la mise à jour, la navigation sur des sites non maîtrisés depuis un appareil vulnérable.
Tableau des références
| Titre de la page du support technique | URL officielle | Date de publication |
|---|---|---|
| NVD – CVE-2026-43746 | https://nvd.nist.gov/vuln/detail/CVE-2026-43746 | 2026-06-29 |
| About the security content of iOS 26.5.2 and iPadOS 26.5.2 | https://support.apple.com/en-us/127594 | 2026-06-29 |
| About the security content of macOS Tahoe 26.5.2 | https://support.apple.com/en-us/127595 | 2026-06-29 |
| About the security content of Safari 26.5.2 | https://support.apple.com/en-us/127685 | 2026-06-29 |
| CVE Record – CVE-2026-43746 | https://cve.org/CVERecord?id=CVE-2026-43746 | 2026-06-29 |
Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.

En savoir plus sur Les miscellanées Numériques
Subscribe to get the latest posts sent to your email.