Apple a mis à jour ses pages “Security content” pour plusieurs versions de macOS, iOS, iPadOS, visionOS et watchOS. L’entreprise y ajoute de nouveaux détails de vulnérabilités corrigées, avec des références CVE associées.
Des précisions ajoutées à des versions anciennes et récentes
En septembre dernier, Apple avait publié macOS 14.8 Sonoma, iOS 18.7 et iPadOS 18.7. Ces mises à jour de sécurité corrigeaient notamment des failles susceptibles de permettre l’accès à des données protégées ou sensibles.
Depuis, macOS Sonoma a reçu plusieurs révisions et se situe désormais en 14.8.7 (Apple a sauté la version 14.8.6). De leur côté, iOS 18 et iPadOS 18 atteignent la version 18.7.9 pour les appareils restés sur cette branche.
Pour l’Apple Watch et l’Apple Vision Pro, watchOS 26 et visionOS 26 ont également été publiés l’an dernier, avec des nouveautés fonctionnelles et des correctifs de sécurité. Apple complète désormais la documentation de plusieurs de ces versions, en détaillant certains correctifs et les CVE correspondants.
Nouveaux éléments documentés pour iOS 26 et iPadOS 26
- Siri — CVE-2025-30468 : des onglets de navigation privée pouvaient être accessibles sans authentification. Correction via une meilleure gestion d’état. Crédits : Richard Hyunho Im (@richeeta), Jiwon Park.
- Calendar : Apple remercie Keisuke Chinone (Iroiro) et Rosyna Keller of Totally Not Malicious Software pour leur assistance.
Nouveaux éléments documentés pour visionOS 26 et watchOS 26
- Calendar : Apple remercie Keisuke Chinone (Iroiro) et Rosyna Keller of Totally Not Malicious Software pour leur assistance.
- Kernel : Apple remercie Sungwoo Kim, Yepeng Pan, Prof. Dr. Christian Rossow pour leur assistance.
Détails ajoutés pour macOS Sonoma 14.8
- Call History — CVE-2025-43357 : une app pouvait potentiellement “fingerprinter” l’utilisateur. Correction via un masquage amélioré des informations sensibles. Crédits : Rosyna Keller of Totally Not Malicious Software, Guilherme Rambo of Best Buddy Apps (rambo.codes).
- CoreServices — CVE-2025-43290 : une app pouvait modifier des parties protégées du système de fichiers. Problème d’autorisations corrigé avec des restrictions supplémentaires. Crédit : Zhongcheng Li from IES Red Team of ByteDance.
- CoreServices — CVE-2025-43289 : une app malveillante pouvait accéder à des données utilisateur sensibles. Correction d’un problème de logique via une validation renforcée. Crédits : Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin).
- FaceTime — CVE-2025-31271 : des appels FaceTime entrants pouvaient s’afficher ou être acceptés sur un Mac verrouillé, même avec les notifications désactivées sur l’écran verrouillé. Correction via une meilleure gestion d’état. Crédit : Shantanu Thakur.
- Phone — CVE-2025-43508 : une app pouvait accéder à des données utilisateur sensibles. Problème de journalisation corrigé avec un masquage amélioré des données. Crédit : Wojciech Regula of SecuRing (wojciechregula.blog).
- StorageKit — CVE-2025-43306 : une app malveillante pouvait obtenir des privilèges root. Correction d’un problème de logique via des contrôles renforcés. Crédit : Mickey Jin (@patch1t).
Détails ajoutés pour macOS Sonoma 14.8.2
- SQLite — CVE-2025-6965 : le traitement d’un fichier pouvait entraîner une corruption mémoire. Apple indique qu’il s’agit d’une vulnérabilité issue de code open source, avec un identifiant CVE attribué par un tiers.
Détails ajoutés pour iOS 18.7 et iPadOS 18.7
- Call History — CVE-2025-43357 : une app pouvait potentiellement “fingerprinter” l’utilisateur. Correction via un masquage amélioré des informations sensibles. Crédits : Rosyna Keller of Totally Not Malicious Software, Guilherme Rambo of Best Buddy Apps (rambo.codes).
- ImageIO : Apple remercie DongJun Kim (@smlijun) et JongSeong Kim (@nevul37) in Enki WhiteHat pour leur assistance.
Les bulletins et pages de contenu de sécurité d’Apple sont centralisés sur le site d’assistance : https://support.apple.com/en-us/100100.
