
Introduction
Apple a publié des correctifs pour deux vulnérabilités affectant Safari et les systèmes d’exploitation de l’écosystème Apple. Une vulnérabilité de contournement de mécanisme de sécurité web (CVE-2026-28907, CVSS 8.1 – HAUTE) et une fuite d’informations via cross-origin (CVE-2026-43700, CVSS 6.5 – MOYENNE) nécessitent une mise à jour prioritaire de votre système.
Éléments impactés
CVE-2026-28907 : Contournement de Content Security Policy dans Safari
Publication : 11 mai 2026
Systèmes affectés :
- Safari 26.5
- iOS 18.7.9 et 26.5
- iPadOS 18.7.9 et 26.5
- macOS Tahoe 26.5
- tvOS 26.5
- visionOS 26.5
- watchOS 26.5
Gravité : CVSS 8.1 (élevée)
CVE-2026-43700 : Fuite d’informations via cross-origin dans WebKit
Publication : 29 juin 2026
Systèmes affectés :
- Safari 26.5.2
- iOS 26.5.2
- iPadOS 26.5.2
- macOS Tahoe 26.5.2
Gravité : CVSS 6.5 (moyenne)
Détails techniques
CVE-2026-28907 : Contournement de Content Security Policy
Description : Une validation d’entrée inadéquate dans le moteur de rendu web des produits Apple permet à un attaquant de créer du contenu web malveillant pour contourner ou désactiver les protections Content Security Policy (CSP). La CSP est un mécanisme de sécurité fondamental qui prévient les injections XSS et les attaques par injection de code.
Impact : En contournant la CSP, un attaquant peut exécuter du code JavaScript malveillant dans le contexte d’un site victime, donnant accès aux données sensibles, aux cookies de session, et permettant des opérations non autorisées au nom de l’utilisateur.
Vecteur d’attaque : Réseau (AV:N), interaction utilisateur requise (UI:R).
Recommandation : Mettre à jour Safari et tous les systèmes Apple vers les versions corrigées listées ci-dessus. Cette mise à jour ne peut pas être différée en raison du CVSS élevé (8.1).
CVE-2026-43700 : Fuite d’informations via cross-origin
Description : Une faille dans le suivi des origines (security origins) de WebKit permet à une page malveillante d’exploiter une vérification cross-origin insuffisante pour accéder à des données sensibles provenant d’un autre domaine. Cela contourne la politique de même-origine (Same-Origin Policy), un mécanisme fondamental de sécurité des navigateurs.
Impact : Un attaquant créant un site malveillant peut inciter un utilisateur à le visiter et ainsi extraire des informations confidentielles (données de compte, jetons de session, informations personnelles) provenant de sites tiers visités par l’utilisateur.
Vecteur d’attaque : Réseau, interaction utilisateur requise.
Recommandation : Mettre à jour Safari et les systèmes iOS/iPadOS/macOS vers les versions corrigées listées ci-dessus.
Résumé des actions recommandées
Priorité : Appliquez les mises à jour immédiatement. CVE-2026-28907 présente un risque élevé (CVSS 8.1) et nécessite une action rapide.
Tableau des références
Toutes les sources utilisées pour ce bulletin :
Apple Security Updates (Index) : https://support.apple.com/en-us/100100
About the security content of Safari 26.5 : https://support.apple.com/en-us/127121
About the security content of iOS 26.5 and iPadOS 26.5 : https://support.apple.com/en-us/127110
About the security content of Safari 26.5.2 : https://support.apple.com/en-us/127685
About the security content of iOS 26.5.2 and iPadOS 26.5.2 : https://support.apple.com/en-us/127594
About the security content of macOS Tahoe 26.5.2 : https://support.apple.com/en-us/127595
NVD – CVE-2026-28907 : https://nvd.nist.gov/vuln/detail/CVE-2026-28907
NVD – CVE-2026-43700 : https://nvd.nist.gov/vuln/detail/CVE-2026-43700