Le lundi 29 juin 2026, Apple a publié iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 et Safari 26.5.2 pour corriger plus de trente failles de sécurité. Parmi celles-ci, quatre vulnérabilités dans le moteur WebKit ont été découvertes grâce à l’intelligence artificielle, notamment via Claude d’Anthropic et Codex Security d’OpenAI. À ce jour, aucune de ces failles n’aurait été exploitée. Voici les éléments essentiels à retenir.
Plus de trente failles corrigées, dont quatre trouvées par l’IA
Ce lot de mises à jour vise à renforcer la sécurité des systèmes d’exploitation et des outils d’Apple. La majorité des correctifs concerne WebKit, le moteur de rendu open source d’Apple, utilisé par Safari et d’autres navigateurs sur iPhone.
Quatre vulnérabilités dans WebKit ont été identifiées grâce à l’IA, une tendance observée chez de nombreux éditeurs. Les failles sont les suivantes :
- CVE-2026-43707 : une corruption de mémoire pouvant entraîner l’arrêt inattendu d’un processus lors du traitement d’un contenu piégé sur une page web.
- CVE-2026-43716 : un problème causant un plantage du navigateur Safari via du contenu web malveillant.
- CVE-2026-43745 : une écriture hors limites pouvant provoquer un plantage de Safari.
- CVE-2026-43715 : un use-after-free menant à une corruption de mémoire lors du traitement de contenu web piégé.
Les trois premières failles ont été attribuées à Codex Security (OpenAI), tandis que la quatrième (CVE-2026-43715) a été découverte par les chercheurs d’Anthropic Milad Nasr et Nicholas Carlini, avec l’assistance de Claude.
Apple a également corrigé trois vulnérabilités au niveau du noyau : CVE-2026-43722, CVE-2026-43724 et CVE-2026-39868, cette dernière pouvant mener à la corruption de la mémoire du noyau. Hyunwoo Kim est à l’origine des découvertes des failles CVE-2026-43724 et CVE-2026-43722.
Une information positive : selon Apple, aucune de ces vulnérabilités n’aurait été exploitée par des cybercriminels, bien que la situation puisse évoluer rapidement.
Apple modifie son rythme habituel de mises à jour
Un aspect notable de ces mises à jour est qu’Apple a traditionnellement regroupé ses correctifs de sécurité dans la prochaine version majeure de son système (ici, le passage de la 26.5 à la 26.6). Les mises à jour isolées sont généralement réservées aux failles zero-day déjà exploitées. Cependant, cette fois-ci, aucune faille zero-day n’a été patchée, ce qui marque un changement dans le rythme de publication.
Dans une déclaration rapportée par Reuters, Apple a expliqué qu’il s’adapte à une nouvelle réalité : l’IA accélérant le développement d’outils de piratage nécessite de réduire le délai entre la publication d’un correctif et son déploiement sur les appareils des utilisateurs. Ce changement pourrait se répéter à l’avenir.
Les utilisateurs de matériel Apple doivent installer la dernière version du système, à savoir : iOS 26.5.2 pour l’iPhone, iPadOS 26.5.2 pour l’iPad, et macOS Tahoe 26.5.2 pour les Mac. Côté navigateur, Safari 26.5.2 est également concerné.
Pour plus d’informations, rendez-vous sur le site d’Apple.
Source : Reuters.
