À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7

À propos des correctifs de sécurité d’iOS 18.7.7 et d’iPadOS 18.7.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 18.7.7 et iPadOS 18.7.7

Publié le 24 mars 2026

Remarque : le 1er avril 2026, nous avons étendu la disponibilité d’iOS 18.7.7 à un plus grand nombre d’appareils. Ainsi, les utilisateurs ayant activé les mises à jour automatiques peuvent bénéficier automatiquement de protections de sécurité essentielles contre les attaques Web connues sous le nom de DarkSword. Les correctifs liés à la faille DarkSword ont été déployés pour la première fois en 2025.

802.1X

Disponible pour : iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (tous les modèles), iPhone SE (2e génération), iPhone 12 (tous les modèles), iPhone 13 (tous les modèles), iPhone SE (3e génération), iPhone 14 (tous les modèles), iPhone 15 (tous les modèles), iPhone 16 (tous les modèles), iPhone 16e, iPad mini (5e génération - A17 Pro), iPad (7e génération - A16), iPad Air (3e à 5e génération), iPad Air 11 pouces (M2 à M3), iPad Air 13 pouces (M2 à M3), iPad Pro 11 pouces (1re génération - M4), iPad Pro 12,9 pouces (3e à 6e génération) et iPad Pro 13 pouces (M4).

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic du réseau.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2026-28865 : Héloïse Gollier et Mathy Vanhoef (KU Leuven)

AppleKeyStore

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20637 : Johnny Franks (zeroxjf), un chercheur anonyme

Audio

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-28879 : Justin Cohen de Google

Clipboard

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2026-28866 : Cristian Dinca (icmd.tech)

CoreMedia

Conséquence : le traitement d’un flux audio dans un fichier multimédia malveillant peut entraîner l’arrêt du processus

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2026-20690 : Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Conséquence : un utilisateur bénéficiant d’une position privilégiée sur un réseau pourrait être en mesure de causer une interruption de service.

Description : un problème de déréférencement de pointeurs null a été résolu par une validation des entrées améliorée.

CVE-2026-28886 : Etienne Charron (Renault) et Victoria Martini (Renault)

Crash Reporter

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème de confidentialité a été résolu en retirant les données sensibles.

CVE-2026-28878 : Zhongcheng Li d’IES Red Team

curl

Conséquence : un problème a été détecté dans curl, susceptible d’entraîner l’envoi involontaire d’informations sensibles via une connexion incorrecte

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. La référence CVE a été attribuée par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE sur le site cve.org.

CVE-2025-14524

DeviceLink

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.

CVE-2026-28876 : Andreas Jaegersberger et Ro Achterberg de Nosebeard Labs

Focus

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-20668 : Kirin (@Pwnrin)

iCloud

Conséquence : une app pourrait être en mesure d’énumérer les applications installées par l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2026-28880 : Zhongcheng Li d’IES Red Team

ImageIO

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

CVE-2025-64505

iTunes Store

Conséquence : un utilisateur bénéficiant d’un accès physique à un appareil iOS peut être en mesure de contourner le verrouillage d’activation

Description : un problème de gestion des chemins a été résolu par une meilleure validation.

CVE-2025-43534 : iG0x72 et JJ de XiguaSec, Lehan Dilusha Jayasinghe

Kernel

Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.

Description : un problème de journalisation a été résolu par une amélioration de la rédaction des données.

CVE-2026-28868 : 이동하 (Lee Dong Ha de BoB 0xB6)

Kernel

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Kernel

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou l’écriture de contenu dans la mémoire du noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20687 : Johnny Franks (@zeroxjf)

mDNSResponder

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : ce problème a été résolu par une meilleure authentification.

CVE-2026-28867 : Jian Lee (@speedyfriend433)

Security

Conséquence : un attaquant local peut être en mesure d’accéder aux éléments du trousseau de l’utilisateur.

Description : ce problème a été résolu par une meilleure vérification des autorisations.

CVE-2026-28864 : Alex Radocea

UIFoundation

Conséquence : une app peut être à l’origine d’un déni de service.

Description : un problème de dépassement de pile a été résolu par une meilleure validation des entrées.

CVE-2026-28852 : Caspian Tarafdar

Vision

Conséquence : l’analyse d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2026-20657 : Andrew Becker

WebKit

Conséquence : le traitement de contenus web malveillants est susceptible d’empêcher l’application de la politique de sécurité du contenu.

Description : ce problème a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 304951

CVE-2026-20665 : webb

WebKit

Conséquence : le traitement d’un contenu web malveillant pourrait contourner la politique de même origine.

Description : un problème lié à l’interopérabilité entre origines dans l’API Navigation a été résolu grâce à une amélioration de la validation des données saisies.

WebKit Bugzilla : 306050

CVE-2026-20643 : Thomas Espach

WebKit

Conséquence : un attaquant distant peut être en mesure de voir les requêtes DNS divulguées avec le relais privé activé.

Description : un problème de logique a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 295943

CVE-2025-43376 : Mike Cardwell de grepular.com et Bob Lord

WebKit

Conséquence : un site web malveillant pourrait accéder à des gestionnaires de messages de script destinés à d’autres origines

Description : un problème de logique a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 307014

CVE-2026-28861 : Hongze Wu et Shuaike Dong de Ant Group Infrastructure Security Team

WebKit

Conséquence : la consultation d’un site web malveillant peut entraîner une attaque par exécution de scripts intersites.

Description : un problème de logique a été résolu par de meilleures vérifications.

WebKit Bugzilla : 305859

CVE-2026-28871 : @hamayanhamayan

Remerciements supplémentaires

Safari

Nous tenons à remercier@RenwaX23 pour son aide.

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: avril 06, 2026