Apple corrige plus de 30 failles sur iOS et macOS découvertes en partie avec l’IA
Le lundi 29 juin 2026, Apple a publié iOS 26.5.2, iPadOS 26.5.2, macOS Tahoe 26.5.2 et Safari 26.5.2 pour patcher plus d’une bonne trentaine de failles de sécurité. Parmi elles, quatre vulnérabilités dans le moteur WebKit ont été découvertes à l’aide de l’IA, dont Claude d’Anthropic et Codex Security d’OpenAI. Aucune n’aurait été exploitée pour le moment. Voici l’essentiel à savoir.
Plus de trente failles corrigées, dont quatre trouvées par l’IA
Ce lot de mises à jour est purement destiné à renforcer la sécurité des OS et des outils d’Apple. La grande majorité concerne WebKit, le moteur de rendu open source d’Apple qui équipe Safari et les navigateurs tiers sur iPhone.
Quatre vulnérabilités WebKit ont été identifiées à l’aide de l’IA : une tendance qui se confirme chez tous les éditeurs et Apple ne fait pas exception. Il s’agit de ces failles de sécurité :
- CVE-2026-43707 : une corruption de mémoire pouvant provoquer l’arrêt inattendu d’un processus lors du traitement d’un contenu piégé sur une page web.
- CVE-2026-43716 : un problème entraînant un plantage du navigateur Safari via du contenu web malveillant.
- CVE-2026-43745 : une écriture hors limites pouvant faire planter Safari.
- CVE-2026-43715 : un use-after-free menant à une corruption de mémoire lors du traitement de contenu web piégé.
Les trois premières failles ont été créditées par Apple à Codex Security (OpenAI), tandis que la quatrième (CVE-2026-43715) revient aux chercheurs d’Anthropic Milad Nasr et Nicholas Carlini, épaulés par Claude.
Apple a par ailleurs patché trois failles au niveau du noyau : CVE-2026-43722, CVE-2026-43724 et CVE-2026-39868, cette dernière étant une faille pouvant mener à la corruption de la mémoire du noyau. Hyunwoo Kim a découvert les failles CVE-2026-43724 et CVE-2026-43722. Ce nom ne vous dit peut-être rien, et pourtant il s’agit du chercheur à l’origine de la découverte de la faille Dirty Frag dans le noyau Linux.
Une bonne nouvelle dans tout ça : d’après Apple, aucune de ces vulnérabilités n’aurait été exploitée par des cybercriminels. Comme vous le savez, la situation peut rapidement évoluer.
Apple casse son rythme habituel de mises à jour
Il y a un fait intéressant avec ces nouvelles mises à jour de sécurité publiées par Apple. En effet, habituellement Apple regroupe ses correctifs de sécurité dans la prochaine version de son système (ici, le passage de la 26.5 à la 26.6). Les mises à jour de sécurité isolées sont plutôt réservées aux failles zero-day déjà exploitées, comme lorsque la firme a corrigé sa première faille zero-day de l’année 2026. Pourtant, cette fois-ci Apple n’a pas patché la moindre zero-day, donc c’est surprenant de voir un changement dans le rythme de publication.
Dans une déclaration rapportée par Reuters, Apple a expliqué s’adapter à une nouvelle réalité : puisque l’IA accélère la mise au point d’outils de piratage, il fallait réduire le délai entre le moment où un correctif est rendu public et celui où il atteint réellement les appareils des utilisateurs. Ce changement opéré par Apple pourrait donc se répéter à l’avenir.
Désormais, si vous utilisez du matériel Apple, vous devez installer la dernière version du système, à savoir : iOS 26.5.2 pour l’iPhone, iPadOS 26.5.2 pour l’iPad, et macOS Tahoe 26.5.2 pour les Mac. Côté navigateur Web, il y a aussi Safari 26.5.2. N’oublions pas que la plupart des failles patchées par Apple avec ces patchs peuvent être déclenchées par la simple visite d’un site malveillant.
Retrouvez toutes les informations sur le site d’Apple.