Apple déploie aujourd’hui iOS 26.2, iPadOS 26.2, macOS, tvOS, watchOS et visionOS. Le constructeur publie le détail des correctifs de sécurité apportés par ces versions.
iOS 26.2 et iPadOS 26.2
La mise à jour corrige des failles touchant l’App Store, FaceTime, le kernel, Messages, WebKit et d’autres composants. Apple mentionne notamment une vulnérabilité permettant à une app malveillante d’identifier les autres applications installées. Les correctifs concernent les iPhone 11 et modèles ultérieurs, ainsi que les iPad compatibles (iPad Pro 12,9 pouces 3e gén. et ultérieures, iPad Pro 11 pouces 1re gén. et ultérieures, iPad Air 3e gén. et ultérieures, iPad 8e gén. et ultérieures, iPad mini 5e gén. et ultérieures).
- App Store : risque d’accès à des jetons de paiement sensibles (CVE-2025-46288).
- Kernel : élévation de privilèges jusqu’au root, corrigée par l’adoption de timestamps 64 bits (CVE-2025-46285).
- Messages : fuite potentielle de données sensibles, avec renforcement des contrôles de confidentialité (CVE-2025-46276).
- Photos : consultation possible d’images de l’album masqué sans authentification (CVE-2025-43428).
- Screen Time : risque d’accès à l’historique Safari et à d’autres données sensibles via des journaux, avec masquage renforcé (CVE-2025-46277, CVE-2025-43538).
- Téléphonie : accès non autorisé à des données sensibles, corrigé par des vérifications d’autorisations supplémentaires (CVE-2025-46292).
- FaceTime : exposition involontaire de champs de mot de passe lors du contrôle à distance (CVE-2025-43542).
- Icons : possibilité pour une app d’identifier les autres apps installées, limitation des permissions (CVE-2025-46279).
- Foundation : accès inapproprié à des fichiers via l’API de correction orthographique et corrections de corruption mémoire (CVE-2025-43518, CVE-2025-43532).
- Multi‑Touch : un périphérique HID malveillant pouvait provoquer un crash (CVE-2025-43533).
- AppleJPEG : corrections de corruption mémoire (CVE-2025-43539).
- WebKit : multiples corrections (confusion de types, use‑after‑free, débordement de tampon, conditions de course). Apple signale deux failles potentiellement exploitées dans des attaques très ciblées sur des versions d’iOS antérieures à iOS 26 (CVE-2025-43529, CVE-2025-14174).
- Dépendances open source : mises à jour pour curl (CVE-2024-7264, CVE-2025-9086) et libarchive (CVE-2025-5918).
Notes de sécurité officielles iOS/iPadOS 26.2 : support.apple.com.
Autres systèmes
Une partie de ces correctifs est également intégrée aux mises à jour des autres plateformes Apple. Les détails complets sont disponibles sur les pages d’assistance officielles :
- Contenu de sécurité de macOS Tahoe 26.2
- Contenu de sécurité de macOS Sequoia 15.7.3
- Contenu de sécurité de macOS Sonoma 14.8.3
- Contenu de sécurité de tvOS 26.2
- Contenu de sécurité de watchOS 26.2
- Contenu de sécurité de visionOS 26.2
- Contenu de sécurité d’iOS 18.7.3 et d’iPadOS 18.7.3
