Apple vient de publier des mises à jour de sécurité cruciales pour corriger une vulnérabilité critique qui a été activement exploitée dans des attaques zero-day ciblant initialement les utilisateurs de Google Chrome. Cette faille, référencée CVE-2025-6558, affecte également l'écosystème Apple via WebKit et mérite une attention immédiate.

Une faille critique dans ANGLE qui compromet la sécurité

La vulnérabilité CVE-2025-6558 réside dans ANGLE (Almost Native Graphics Layer Engine), une couche d'abstraction graphique open source qui traite les commandes GPU et traduit les appels API OpenGL ES vers Direct3D, Metal, Vulkan et OpenGL. Cette bibliothèque est largement utilisée dans l'écosystème technologique, y compris par Apple dans ses projets WebKit.

Le problème provient d'une validation incorrecte des données non fiables, permettant aux attaquants distants d'exécuter du code arbitraire dans le processus GPU du navigateur via des pages HTML spécialement conçues. Cette technique d'attaque est particulièrement préoccupante car elle peut permettre aux cybercriminels de contourner le système de sandboxing, cette barrière de sécurité qui isole normalement les processus du navigateur du système d'exploitation.

Un déploiement massif de correctifs sur tous les appareils Apple

Apple a déployé le correctif de sécurité sur l'ensemble de sa gamme d'appareils avec iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, iPadOS 17.7.9, tvOS 18.6, visionOS 2.6 et watchOS 11.6. Cette approche globale témoigne de la gravité de la situation et de l'importance accordée par Cupertino à la sécurité de son écosystème.

La faille a été découverte en juin par Vlad Stolyarov et Clément Lecigne du Threat Analysis Group (TAG) de Google, une équipe spécialisée dans la défense contre les attaques parrainées par des États. Google avait corrigé le problème dans Chrome le 15 juillet, confirmant son exploitation active dans la nature. Cette découverte s'inscrit dans une tendance inquiétante : il s'agit de la sixième vulnérabilité zero-day corrigée par Apple depuis le début de l'année 2025, soulignant l'intensification des menaces ciblant l'écosystème mobile et desktop.

