Apple a publié une série de mises à jour de sécurité ce mardi, incluant un correctif pour Safari visant à colmater une faille critique référencée CVE-2025-6558. Cette vulnérabilité a été activement exploitée plus tôt ce mois-ci dans Google Chrome, selon les chercheurs du Threat Analysis Group de Google. Bien qu’aucun exploit n’ait été confirmé côté Apple, la firme a préféré agir rapidement pour protéger ses utilisateurs.
Une faille exploitée dans Chrome pousse Apple à corriger Safari
La vulnérabilité CVE-2025-6558 a été initialement détectée et signalée par l’équipe Threat Analysis Group (TAG) de Google, connue pour surveiller les menaces actives visant les utilisateurs de ses services. L’exploitation a été observée dans la nature dès la mi-juillet 2025, ciblant des utilisateurs à travers des pages web malicieusement conçues capables d’échapper à l’isolement du navigateur (sandbox escape).
Google a rapidement réagi en intégrant un correctif dans la mise à jour Chrome 138.0.7204.157, déployée de manière prioritaire sur toutes les plateformes (Windows, macOS, Linux, Android). Cette réponse rapide témoigne de la gravité de la faille (8,8) qui permettait potentiellement une exécution de code ou l’accès à des données isolées du système.
Dans la foulée, l’agence américaine CISA (Cybersecurity & Infrastructure Security Agency) a inscrit la CVE‑2025‑6558 dans son catalogue des vulnérabilités activement exploitées (KEV) imposant aux agences fédérales américaines une obligation de patcher avant le 12 août 2025. Cette inclusion souligne le risque réel associé à cette faille qui pourrait être réutilisée dans d’autres navigateurs ou applications utilisant des composants similaires comme ANGLE ou le moteur WebKit.
Apple prend les devants, Safari aussi vulnérable
Bien que la faille CVE-2025-6558 ait été initialement détectée et exploitée dans Google Chrome, Apple a rapidement identifié que son propre moteur de rendu web, WebKit, partageait certains composants vulnérables (les modules ANGLE et GPU). Ces briques logicielles utilisées pour l’accélération graphique dans les navigateurs modernes exposaient Safari à un risque similaire d’évasion du sandbox.
À ce jour, aucune exploitation active n’a été observée sur les appareils Apple. Cependant, par mesure de précaution, la firme de Cupertino a publié un correctif via des mises à jour système et navigateur, anticipant tout scénario d’attaque future. Cette démarche proactive reflète l’importance croissante des failles transversales entre moteurs web.
Mettez à jour Safari et iOS dès maintenant pour corriger une faille critique
Si vous utilisez Safari ou un appareil Apple, la meilleure protection consiste à installer les dernières mises à jour logicielles proposées par Apple. Le correctif de la faille CVE‑2025‑6558 est inclus dans les nouvelles versions de macOS, iOS, iPadOS, visionOS et de Safari.
Voici ce que vous devez faire :
- Sur iPhone ou iPad : allez dans Réglages > Général > Mise à jour logicielle, puis installez iOS/iPadOS 18.6.
- Sur Mac : ouvrez le menu Pomme > Réglages Système > Général > Mise à jour de logiciels, puis installez macOS Sequoia 15.6, Ventura 13.6.6 ou Monterey 12.7.5, selon votre appareil.
- Sur Apple Vision Pro : installez visionOS 2.6 via les réglages système.
Il est recommandé d’effectuer la mise à jour sans délai, même si aucune attaque n’a encore été détectée sur Safari. L’exploitation active de cette faille dans Chrome démontre qu’elle est connue des attaquants et donc susceptible d’être adaptée à d’autres navigateurs.
CVE-2025-6558 : Apple a corrigé Safari malgré l’absence d’attaque
L’exploitation active de la faille CVE‑2025‑6558 dans Google Chrome a servi de signal d’alarme : bien que Safari n’ait pas été ciblé à ce jour, Apple a préféré agir rapidement pour combler une vulnérabilité similaire présente dans WebKit, son moteur de rendu web.
Cette approche préventive rappelle une réalité importante en cybersécurité : l’absence d’attaque ne signifie pas l’absence de risque. Dès lors qu’une faille est connue et documentée, elle peut rapidement être adaptée à d’autres environnements, surtout lorsqu’il s’agit de composants partagés comme ANGLE ou les modules GPU.
Il est donc fortement recommandé d’appliquer immédiatement les mises à jour proposées par Apple, qu’il s’agisse de Safari, d’iOS, de macOS ou de visionOS. La vigilance reste également de mise dans les semaines à venir, car d’autres variantes ou exploitations croisées pourraient voir le jour à partir de cette faille initialement détectée dans Chrome.
À propos de l'auteur
