
Introduction
Apple a publié le 29 juin 2026 une nouvelle vague de correctifs pour Safari, iOS et iPadOS. Parmi la trentaine de failles corrigées, la vulnérabilité CVE-2026-43725 attire particulièrement l’attention : elle permet à un site web malveillant de traiter du contenu web restreint en dehors du bac à sable (sandbox) WebKit. En clair, une simple visite d’une page piégée peut suffire à contourner l’une des principales barrières de sécurité du navigateur. Ce bulletin explique en termes accessibles ce que cette faille change pour les utilisateurs et quelles versions installer.
Éléments impactés
- Safari 26.5.2 sur macOS Sonoma et macOS Sequoia
- iOS 26.5.2 — iPhone 11 et modèles ultérieurs
- iPadOS 26.5.2 — iPad Pro 12,9 pouces (3ᵉ génération) et ultérieurs, iPad Pro 11 pouces (1ʳᵉ génération) et ultérieurs, iPad Air (3ᵉ génération) et ultérieurs, iPad (8ᵉ génération) et ultérieurs, iPad mini (5ᵉ génération) et ultérieurs
Date de publication des correctifs : 29 juin 2026 (source : support.apple.com).
Détails de la vulnérabilité
CVE-2026-43725 — WebKit Sandbox Escape
Publication : 2026-06-29 | Composant : WebKit
- Impact officiel Apple : « A malicious website may be able to process restricted web content outside the sandbox » (un site web malveillant peut être en mesure de traiter du contenu web restreint hors du bac à sable).
- Description officielle Apple : le problème a été corrigé par une validation d’entrée améliorée (« The issue was addressed with improved input validation »).
- Chercheur crédité : Luke Francis.
- Référence WebKit Bugzilla : 312832.
- Score CVSS : Je ne sais pas. Apple ne publie pas systématiquement un score CVSS dans ses bulletins de sécurité, et aucun score officiel n’est disponible dans la fiche support.apple.com au moment de la rédaction.
- Exploitation active connue : Je ne sais pas. Apple ne mentionne pas d’exploitation active sur ces fiches.
Ce que cela signifie pour l’utilisateur
Le bac à sable (« sandbox ») est une zone isolée où Safari exécute le contenu des sites web. Il empêche un site de fouiller dans les fichiers de l’appareil ou dans les données d’autres onglets. Une évasion du bac à sable (« sandbox escape ») est donc l’un des scénarios les plus sérieux : elle peut, seule ou combinée à d’autres failles, devenir le premier maillon d’une chaîne d’exploitation menant à des privilèges plus élevés. Voilà pourquoi Apple traite ces failles comme prioritaires, même sans preuve d’exploitation active.
Recommandations
- Installer les mises à jour immédiatement : Safari 26.5.2, iOS 26.5.2 et iPadOS 26.5.2 sur les appareils compatibles.
- Vérifier les mises à jour automatiques : Réglages > Général > Mise à jour logicielle sur iPhone/iPad, ou Réglages système > Général > Mise à jour de logiciels sur Mac.
- Redémarrer l’appareil après installation pour s’assurer que tous les composants WebKit sont bien rechargés.
Tableau des références
| Titre de la page du support technique | URL officielle | Date de publication |
|---|---|---|
| About the security content of Safari 26.5.2 | https://support.apple.com/en-us/127685 | 29 juin 2026 |
| About the security content of iOS 26.5.2 and iPadOS 26.5.2 | https://support.apple.com/en-us/127594 | 29 juin 2026 |
| Apple security releases | https://support.apple.com/en-us/100100 | Mise à jour continue |
Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.


