Les possesseurs de terminaux Apple vont recevoir des correctifs de sécurité pour deux failles zero day, ce qui porte le compteur pour ce genre de vulnérabilités à cinq depuis le début de l'année. Identifiées sous les références CVE-2025-31200 et CVE-2025-31201, elles affectent les composants CoreAudio et Reconfigurable Processing Architecture Core (RPAC) et ont été exploitées dans des attaques sophistiquées. "Apple a indiqué être informée d'un rapport suggérant que ces vulnérabilités auraient pu être exploitées dans une attaque particulièrement sophistiquée visant des individus spécifiques sur iOS", a déclaré l'entreprise dans un avis publié mercredi. Elles ont permis l'exécution de code malveillant et la corruption de mémoire, avec des conséquences potentiellement graves pour les utilisateurs.

CoreAudio et RPAC en ligne de mire

La première vulnérabilité concerne CoreAudio, une API d'Apple qui gère l’audio sur ses systèmes d’exploitation. Cette faille, de haute gravité (score CVSS 7.5/10), donne la possibilité à un attaquant d'exécuter du code malveillant via un fichier multimédia malveillant. Bien qu'Apple n'ait pas fourni de détails sur l’exploitation, il est confirmé que cette brèche a été utilisée dans des attaques ciblées sur iOS, pouvant entraîner un vol de données, de la surveillance ou une compromission du système.

La deuxième vulnérabilité affecte RPAC, un composant matériel d'Apple. Cette faille contourne l'authentification des pointeurs, un mécanisme de sécurité important qui protège contre les attaques de corruption de mémoire. En exploitant cette faille (CVSS 6.8/10), un attaquant pourrait élever ses privilèges, compromettre le noyau du système et maintenir une persistance sur l'appareil.

Déploiement des correctifs

Bien que ces failles aient principalement ciblé les iPhones, Apple a indiqué que la faille affecte un éventail plus large de ses produits, incluant les appareils sous iPadOS, tvOS, visionOS et macOS. En réponse, l’entreprise a rapidement déployé des correctifs pour l’ensemble des systèmes concernés : iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1 et visionOS 2.4.1, selon les informations du NVD. Ces mises à jour couvrent une large gamme d’appareils, notamment les iPhones récents ainsi que plusieurs générations d’iPad.

Cette situation met Apple sous pression, d’autant plus que l’entreprise pourrait atteindre son total de six vulnérabilités zero-day pour 2024, un chiffre déjà élevé pour l'année en cours.