Sécurité : Deux vulnérabilités affectant Safari et les systèmes Apple

Introduction

Apple a publié des correctifs pour deux vulnérabilités affectant Safari et les systèmes d’exploitation de l’écosystème Apple. Une vulnérabilité de contournement de mécanisme de sécurité web (CVE-2026-28907, CVSS 8.1 – HAUTE) et une fuite d’informations via cross-origin (CVE-2026-43700, CVSS 6.5 – MOYENNE) nécessitent une mise à jour prioritaire de votre système.

Éléments impactés

CVE-2026-28907 : Contournement de Content Security Policy dans Safari

Publication : 11 mai 2026

Systèmes affectés :

  • Safari 26.5
  • iOS 18.7.9 et 26.5
  • iPadOS 18.7.9 et 26.5
  • macOS Tahoe 26.5
  • tvOS 26.5
  • visionOS 26.5
  • watchOS 26.5

Gravité : CVSS 8.1 (élevée)

CVE-2026-43700 : Fuite d’informations via cross-origin dans WebKit

Publication : 29 juin 2026

Systèmes affectés :

  • Safari 26.5.2
  • iOS 26.5.2
  • iPadOS 26.5.2
  • macOS Tahoe 26.5.2

Gravité : CVSS 6.5 (moyenne)

Détails techniques

CVE-2026-28907 : Contournement de Content Security Policy

Description : Une validation d’entrée inadéquate dans le moteur de rendu web des produits Apple permet à un attaquant de créer du contenu web malveillant pour contourner ou désactiver les protections Content Security Policy (CSP). La CSP est un mécanisme de sécurité fondamental qui prévient les injections XSS et les attaques par injection de code.

Impact : En contournant la CSP, un attaquant peut exécuter du code JavaScript malveillant dans le contexte d’un site victime, donnant accès aux données sensibles, aux cookies de session, et permettant des opérations non autorisées au nom de l’utilisateur.

Vecteur d’attaque : Réseau (AV:N), interaction utilisateur requise (UI:R).

Recommandation : Mettre à jour Safari et tous les systèmes Apple vers les versions corrigées listées ci-dessus. Cette mise à jour ne peut pas être différée en raison du CVSS élevé (8.1).

CVE-2026-43700 : Fuite d’informations via cross-origin

Description : Une faille dans le suivi des origines (security origins) de WebKit permet à une page malveillante d’exploiter une vérification cross-origin insuffisante pour accéder à des données sensibles provenant d’un autre domaine. Cela contourne la politique de même-origine (Same-Origin Policy), un mécanisme fondamental de sécurité des navigateurs.

Impact : Un attaquant créant un site malveillant peut inciter un utilisateur à le visiter et ainsi extraire des informations confidentielles (données de compte, jetons de session, informations personnelles) provenant de sites tiers visités par l’utilisateur.

Vecteur d’attaque : Réseau, interaction utilisateur requise.

Recommandation : Mettre à jour Safari et les systèmes iOS/iPadOS/macOS vers les versions corrigées listées ci-dessus.

Résumé des actions recommandées

Priorité : Appliquez les mises à jour immédiatement. CVE-2026-28907 présente un risque élevé (CVSS 8.1) et nécessite une action rapide.

Tableau des références

Toutes les sources utilisées pour ce bulletin :

Apple Security Updates (Index) : https://support.apple.com/en-us/100100

About the security content of Safari 26.5 : https://support.apple.com/en-us/127121

About the security content of iOS 26.5 and iPadOS 26.5 : https://support.apple.com/en-us/127110

About the security content of Safari 26.5.2 : https://support.apple.com/en-us/127685

About the security content of iOS 26.5.2 and iPadOS 26.5.2 : https://support.apple.com/en-us/127594

About the security content of macOS Tahoe 26.5.2 : https://support.apple.com/en-us/127595

NVD – CVE-2026-28907 : https://nvd.nist.gov/vuln/detail/CVE-2026-28907

NVD – CVE-2026-43700 : https://nvd.nist.gov/vuln/detail/CVE-2026-43700

Sécurité : Faille de gestion mémoire dans Safari et les systèmes Apple (CVE-2026-43663)

Apple a publié des correctifs le 29 juin 2026 pour corriger une vulnérabilité de gestion mémoire affectant Safari, iOS, iPadOS et macOS Tahoe. Cette faille, identifiée sous le numéro CVE-2026-43663, représente un risque modéré (CVSS 6.5) pour les utilisateurs Apple. Le traitement de contenu web malveillant peut entraîner un crash du navigateur ou du processus de rendu, ouvrant potentiellement la voie à une exécution de code arbitraire.

Les systèmes affectés incluent Safari, iOS 26.5.2, iPadOS 26.5.2 et macOS Tahoe 26.5.2. Les correctifs officiels sont disponibles depuis le 29 juin 2026.

Éléments impactés

Système/NavigateurVersion affectéeVersion correctiveDate de publication
Safari< 26.5.2Safari 26.5.229 juin 2026
iOS< 26.5.2iOS 26.5.229 juin 2026
iPadOS< 26.5.2iPadOS 26.5.229 juin 2026
macOS Tahoe< 26.5.2macOS Tahoe 26.5.229 juin 2026

Analyse détaillée

CVE-2026-43663 : Faille de gestion mémoire dans WebKit

  • Identifiant : CVE-2026-43663
  • Score CVSS : 6.5 (Gravité MOYENNE)
  • Type de vecteur : Réseau / Interface utilisateur
  • Publication officielle : 29 juin 2026

Description officielle Apple : « Le traitement de contenu web conçu de manière malveillante peut entraîner un crash inattendu du processus. Le problème a été résolu par une meilleure gestion de la mémoire dans Safari 26.5.2, iOS 26.5.2, iPadAS 26.5.2 et macOS Tahoe 26.5.2. »

Contexte technique : Cette vulnérabilité affecte le moteur de rendu web WebKit, utilisé par Safari et les navigateurs embarqués dans les systèmes d’exploitation Apple. Elle combine deux faiblesses critiques : une restriction insuffisante des opérations aux limites de la mémoire tampon (CWE-119) et une utilisation de mémoire libérée (use-after-free, CWE-416).

Un attaquant peut exploiter cette chaîne de vulnérabilités en créant une page web contenant du contenu spécialement conçu qui, une fois traité par le navigateur, force l’accès à une zone mémoire déjà libérée.

  • Impact immédiat : Déni de service (crash du processus de rendu)
  • Impact potentiel : Cette classe de vulnérabilités représente un vecteur d’attaque classique vers l’exécution de code arbitraire, particulièrement sensible sur les appareils mobiles

Chercheurs ayant signalé la faille : Soyeon Park, Amy Burnett, Khai Tran, sherkito, Kota Toda, HexRabbit (@h3xr4bb1t) et NiNi (@terrynini38514) de DEVCORE Research Team ; Tristan Madani (@TristanInSec) de Talence Security ; Brian Carpenter.

Recommandations pour les utilisateurs

  1. Mettre à jour immédiatement vers les versions correctives : Safari 26.5.2 ou ultérieur, iOS 26.5.2 ou ultérieur, iPadAS 26.5.2 ou ultérieur, macOS Tahoe 26.5.2 ou ultérieur
  2. Vérifier les paramètres de mise à jour automatique pour s’assurer que les correctifs seront installés dès leur disponibilité
  3. Redémarrer les appareils après l’installation des mises à jour pour appliquer les modifications de sécurité
  4. Éviter la visite de sites web suspects ou non fiables en attendant la mise à jour, en particulier sur les appareils mobiles

Références officielles

Sécurité : Validation d’entrée insuffisante dans le kernel Apple (CVE-2026-39868)

Introduction

Apple a corrigé une vulnérabilité critique de validation d’entrée dans le kernel affectant iOS, iPadOS et macOS Tahoe. La faille (CVE-2026-39868) permet à une application malveillante d’accéder localement au système pour corrompre la mémoire du kernel ou provoquer un arrêt inattendu du système. Les corrections ont été publiées le 29 juin 2026.

CVE détaillée : CVE-2026-39868

Identification

  • Identifiant : CVE-2026-39868
  • Date de publication : 29 juin 2026
  • Score CVSS : Non disponible
  • Vecteur d’exploitation : Local (application malveillante)
  • Impact : Escalade de privilèges, corruption d’intégrité système

Description officielle

La vulnérabilité réside dans une validation insuffisante des paramètres d’entrée au niveau du kernel Apple. Un développeur d’application malveillante peut exploiter cette faille pour accéder aux ressources système privilégiées sans autorisation de l’utilisateur.

Contenu officiel Apple : « This issue was addressed with improved input validation. This issue is fixed in iOS 26.5.2 and iPadOS 26.5.2, macOS Tahoe 26.5.2. An app may be able to cause unexpected system termination or corrupt kernel memory. »

Produits affectés et versions correctives

SystèmeVersions affectéesCorrectionDate
iOS< 26.5.2iOS 26.5.229 juin 2026
iPadOS< 26.5.2iPadOS 26.5.229 juin 2026
macOS Tahoe< 26.5.2macOS Tahoe 26.5.229 juin 2026

Contexte de découverte

La vulnérabilité a été créditée à des chercheurs en sécurité de premier plan provenant de STAR Labs, Positive Technologies et Baidu Security, soulignant la complexité technique et l’importance critique de cette faille.

Bien que le vecteur d’exploitation soit local (installation d’une application requise), l’impact potentiel est sévère dans les environnements d’entreprise où le contrôle des applications constitue un enjeu critique.

Recommandations

  1. Mise à jour immédiate : Tous les utilisateurs d’iOS, iPadOS et macOS Tahoe doivent mettre à jour vers les versions 26.5.2 dès réception de la notification Apple.
  2. Contrôle des applications (entreprises) : Renforcer la politique d’installation d’applications pour limiter les risques d’exécution de code malveillant.
  3. Surveillance des exploits : Vérifier la base de données CISA des vulnérabilités exploitées pour tout signe d’exploitation active.

Sources officielles

Sécurité : Faille kernel critique affectant iOS, iPadOS et macOS (CVE-2026-43724)

Une nouvelle vulnérabilité affectant le kernel d’Apple a été corrigée dans les mises à jour iOS 26.5.2, iPadOS 26.5.2 et macOS Tahoe 26.5.2. Cette faille de haute gravité (CVSS 7.8) permet à une application malveillante d’effectuer des écritures en mémoire kernel, contournant les protections de sécurité du système. Aucune interaction utilisateur n’est requise pour exploiter cette faille.

Systèmes et produits impactés

La vulnérabilité CVE-2026-43724 affecte les appareils suivants en versions antérieures à :

  • iOS : versions antérieures à 26.5.2
  • iPadOS : versions antérieures à 26.5.2
  • macOS Tahoe : versions antérieures à 26.5.2

Les correctifs sont disponibles depuis le 29 juin 2026 pour tous ces systèmes.

Appareils affectés (iOS/iPadOS)

  • iPhone 11 et ultérieur
  • iPad Pro 12,9 pouces (3e génération et ultérieures)
  • iPad Pro 11 pouces (1ère génération et ultérieures)
  • iPad Air (3e génération et ultérieures)
  • iPad (8e génération et ultérieures)
  • iPad mini (5e génération et ultérieures)

Détails techniques

Publication : 29 juin 2026 | Composant : Kernel Apple

Identifiant : CVE-2026-43724
Score CVSS : 7.8 (HIGH)
Chercheur : Hyunwoo Kim (@v4bel)

Description

CVE-2026-43724 résulte d’une validation insuffisante des données d’entrée dans le kernel Apple. Une application non autorisée peut exploiter ce défaut pour effectuer des écritures en mémoire kernel, ou pour divulguer des états sensibles du kernel. Le problème a été résolu par une validation améliorée des entrées.

Cette vulnérabilité forme une primitive d’escalade de privilèges permettant aux attaquants de contourner les mécanismes de sécurité cœurs du système d’exploitation. Elle est particulièrement dangereuse car elle ne nécessite pas d’interaction utilisateur et peut être exploitée par une application standard.

Vecteur d’attaque

  • Vecteur : LOCAL
  • Complexité : FAIBLE
  • Privilèges requis : FAIBLES
  • Interaction utilisateur : AUCUNE
  • Impact confidentiel : ÉLEVÉ
  • Impact intégrité : ÉLEVÉ
  • Impact disponibilité : ÉLEVÉ

Recommandations

Action immédiate requise :

  • Vérifiez la version installée de votre appareil (Réglages > Général > Informations)
  • Installer immédiatement les mises à jour disponibles :iOS 26.5.2 ou ultérieur, iPadOS 26.5.2 ou ultérieur, macOS Tahoe 26.5.2 ou ultérieur
  • Redémarrez votre appareil après l’installation pour activer le correctif

Cette faille affecte des millions de dispositifs en production. Apple classe cette mise à jour parmi ses priorités de sécurité critiques.

Sources

Titre de la pageURL officielleDate
About the security content of macOS Tahoe 26.5.2https://support.apple.com/en-us/12759529 juin 2026
About the security content of iOS 26.5.2 and iPadOS 26.5.2https://support.apple.com/en-us/12759429 juin 2026
CVE-2026-43724 – OpenCVEhttps://app.opencve.io/cve/CVE-2026-4372429 juin 2026

Sécurité : iOS et iPadOS — Fuite de notifications supprimées (CVE-2026-28950)

Publication : 22 avril 2026 | Framework : Notification Services

Apple a corrigé une vulnérabilité de divulgation d’informations affectant iOS et iPadOS : les notifications marquées pour suppression restaient conservées inattendue en mémoire, rendant leur contenu accessible via un accès local au dispositif.

Détails de la vulnérabilité

Apple a identifié un défaut critique dans la gestion des logs des Notification Services. Lorsqu’un utilisateur supprimait une notification, le contenu de celle-ci n’était pas correctement purgé de la mémoire persistante du dispositif. Cette rétention inattendue exposait les données sensibles (messages privés, codes d’authentification, données financières) à toute personne ayant accès physique à l’appareil déverrouillé.

Gravité : Medium (CVSS 6.2)

Accès requis : Présence physique sur l’appareil déverrouillé | Aucun privilège administrateur requis

Contexte opérationnel

Cette vulnérabilité a attiré l’attention suite à des rapports montrant que le FBI avait pu accéder au contenu des notifications Signal supprimées d’un suspect, malgré la suppression de l’application Signal de l’appareil. Les notifications Signal affichent un aperçu du message entrant dans les alertes, incluant l’identifiant du destinataire et une portion du contenu du message. iOS n’effectuait pas une redaction complète de ces données lors de leur suppression par l’utilisateur.

Systèmes affectés et correctifs

SystèmeVersions vulnérablesVersion corrective
iOS15.8.7 et antérieur, 16.7.15 et antérieur, 17.7.10 et antérieur, 18.7.7 et antérieur, 26.4.1 et antérieur15.8.8 / 16.7.16 / 17.7.11 / 18.7.8 / 26.4.2
iPadOS15.8.7 et antérieur, 16.7.15 et antérieur, 17.7.10 et antérieur, 18.7.7 et antérieur, 26.4.1 et antérieur15.8.8 / 16.7.16 / 17.7.11 / 18.7.8 / 26.4.2

Recommandations pour les utilisateurs

Immédiatement :

  1. Mettre à jour vers les versions correctives ci-dessus
  2. Pour les applications de messagerie sensibles (Signal, Telegram, WhatsApp, ProtonMail, etc.), configurer les notifications pour afficher uniquement le nom de l’expéditeur sans aperçu du contenu
  3. Désactiver les aperçus de contenu dans les paramètres de notification des applications critiques

À long terme :

Sources