Vulnérabilité CVE-2025-14174 : Une nouvelle vulnérabilité Zero-Day de corruption de mémoire dans Apple WebKit exploitée dans des attaques ciblées

Zero-day les vulnérabilités continuent de poser des risques croissants, permettant aux attaquants d’exploiter des faiblesses non divulguées avant la mise en place de correctifs défensifs. Suite à la divulgation d’un zero-day critique dans Gladinet’s Triofox (CVE-2025-12480), une nouvelle vulnérabilité zero-day est déjà exploitée dans la nature, soulignant la fenêtre étroite dont disposent les défenseurs pour agir. Apple a confirmé qu’une nouvelle vulnérabilité zero-day de WebKit, connue sous le nom de CVE-2025-14174, aux côtés de CVE-2025-43529, a été activement exploitée dans des attaques très ciblées. CVE-2025-14174 et CVE-2025-43529 affectent tous les appareils Apple capables de rendre du contenu web, y compris Safari et tous les navigateurs sur iOS et iPadOS, laissant tout système non corrigé exposé à des compromissions.

WebKit, le moteur de navigateur multiplateforme derrière Safari et de nombreuses applications sur macOS, iOS, Linux et Windows, continue d’être une cible de grande valeur pour les attaquants, surtout parce qu’il est obligatoire pour tous les navigateurs sur iOS et iPadOS. Par exemple, au début du printemps 2025, une faille zero-day suivie comme CVE-2025-24201 a été découverte dans WebKit, exploitée via du contenu web malveillant élaboré pour sortir du sandbox Web Content. 

Avec les derniers correctifs, Apple a maintenant résolu neuf vulnérabilités zero-day exploitées dans la nature en 2025. Cela reflète une tendance claire selon laquelle les attaquants investissent massivement dans les moteurs de navigateur et les pipelines de rendu pour contourner le sandboxing et compromettre silencieusement des cibles critiques. 

Inscrivez-vous à la Plateforme d’Intelligence de Détection Native AI de SOC Prime pour les équipes SOC, soutenue par des technologies de pointe et une expertise en cybersécurité de premier ordre pour surpasser les menaces cybernétiques et bâtir une posture de cybersécurité résiliente. Cliquez sur Explorer les Détections pour accéder à la collection complète de contenu SOC pour la détection d’exploitation de vulnérabilité, filtrée par le tag personnalisé “CVE”.

Explorer les Détections

Les détections du jeu de règles dédié peuvent être appliquées sur plus de 40 plates-formes SIEM, EDR et Data Lake et sont mappées sur la dernière version du cadre MITRE ATT&CK® v18.1. Les équipes de sécurité peuvent également exploiter Uncoder AI pour accélérer l’ingénierie de détection de bout en bout en générant des règles directement à partir de rapports de menaces en direct, en affinant et en validant la logique de détection, en visualisant automatiquement les Attack Flows, en convertissant les IOCs en requêtes de chasse personnalisées, et en traduisant instantanément le code de détection entre divers formats de langue.

Analyse de CVE-2025-14174

Le 12 décembre, Apple a publié des correctifs de sécurité hors bande sur son écosystème après avoir confirmé que deux vulnérabilités zero-day de WebKit sont activement exploitées dans la nature. Les problèmes de sécurité exploités sont CVE-2025-43529, une vulnérabilité de type utilisation après libération dans WebKit qui pourrait permettre aux attaquants d’exécuter du code arbitraire, et CVE-2025-14174 (avec un CVSS de 8,8), un zero-day de WebKit qui peut entraîner une corruption mémoire lors de la gestion de pages web malicieusement élaboreées. Les deux failles peuvent être exploitées via du contenu web spécialement conçu, ne nécessitant aucune installation d’application ou interaction de l’utilisateur au-delà de la visite d’une page malveillante

Apple a confirmé être conscient que les failles peuvent avoir été exploitées dans une attaque extrêmement sophistiquée contre des individus spécifiquement ciblés utilisant des versions d’iOS antérieures à iOS 26.

Notamment, CVE-2025-14174 est la même vulnérabilité que Google a corrigée dans Chrome le 10 décembre 2025. Google l’a décrite comme un problème d’accès mémoire hors limites dans ANGLE, sa bibliothèque graphique open-source, spécifiquement dans le moteur de rendu Metal. Comme ANGLE est partagé entre les plates-formes, cela indique une exploitation inter-navigateurs plutôt qu’un bug isolé.

Les deux vulnérabilités ont été identifiées grâce à la collaboration entre Apple Security Engineering and Architecture et Google Threat Analysis Group. Le fait que les deux failles affectent WebKit suggère fortement qu’elles ont été utilisées dans des campagnes de surveillance très ciblées. Tout appareil capable de rendre du contenu WebKit, y compris l’iPhone 11 et versions ultérieures, les iPads pris en charge, l’Apple Watch Series 6+, l’Apple TV et le Vision Pro, était concerné. 

Apple a publié des correctifs pour presque tout son écosystème, y compris iOS et iPadOS (26.2 et 18.7.3), macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 et Safari 26.2 pour macOS Sonoma et Sequoia.

En tant que mesures d’atténuation potentielles pour CVE-2025-43529 et CVE-2025-14174, les organisations devraient imposer des mises à jour immédiates de l’OS et des navigateurs sur tous les appareils Apple, vérifier la conformité MDM pour éviter le report des correctifs, et considérer tout retard dans l’application des mises à jour comme une véritable exposition à la sécurité. Les défenseurs doivent partir du principe que les exploits modernes basés sur le web peuvent contourner les contrôles au niveau des applications, surveiller activement les comportements anormaux du navigateur ou du réseau après le déploiement du correctif et, pour les utilisateurs à haut risque, reconnaître que la latence des correctifs élargit directement la surface d’attaque.

Les zero-days de WebKit soulignent une réalité critique : les attaques les plus dangereuses d’aujourd’hui commencent souvent dans le navigateur. La combinaison d’une exploitation furtive, d’une interaction utilisateur nulle et d’un potentiel de prise de contrôle complet de l’appareil rend ces vulnérabilités particulièrement dangereuses et nécessite une action rapide et décisive de la part des défenseurs. Comptez sur la Plateforme SOC Prime pour accéder au plus grand ensemble de données d’intelligence de détection au monde, adopter une pipeline de bout en bout allant de la détection à la simulation tout en rationalisant les opérations de sécurité et en accélérant les flux de travail de réponse, réduire la charge de travail d’ingénierie, et toujours rester en avance sur les menaces émergentes.