Apple a commencé à utiliser une nouvelle façon de corriger les vulnérabilités critiques sans forcer les utilisateurs à installer une mise à jour complète du système. Cette première livraison de corrections via Contexte Améliorations de la sécurité résout un défaut dans WebKit enregistré comme CVE-2026-20643 qui ont permis aux contenus web malveillants de contourner les restrictions entre les origines et, sous certaines conditions, l'accès aux ressources qui devraient rester isolées.
En termes simples, les navigateurs Web et les moteurs appliquent la politique dite de même origine pour empêcher une page dans un domaine de lire des données d'un autre domaine différent. Lorsque cette barrière est compromise, des vecteurs sont ouverts pour le vol d'informations, l'enlèvement de session ou des actions non autorisées par des scripts chargés de sites malveillants. Si vous voulez approfondir le fonctionnement de cette politique de sécurité, la documentation technique de Mozilla fournit une explication claire dans un langage accessible: Même politique d'origine (MDN).
Selon Apple, le problème était lié à l'interaction entre les origines dans l'API de navigation WebKit et a été résolu en améliorant la validation des entrées que l'API traite. L'avis officiel d'Apple décrit l'arrangement et confirme que la vulnérabilité a été signalée par le chercheur Thomas Espach. Les corrections sont déjà disponibles sous forme de mises à jour sur les appareils iOS 26.3.1, iPadOS 26.3.1 et macOS 26.3.1 et 26.3.2.
La nouvelle chose ici n'est pas seulement le patch, mais le canal de distribution: Contexte Améliorations de la sécurité permet à Apple d'appliquer des patchs petits et focalisés sur des composants tels que Safari et la pile WebKit sans forcer une installation complète du système d'exploitation ou un redémarrage immédiat. La société a expliqué ce mécanisme comme un moyen de fournir des réponses rapides entre les cycles de mises à jour majeures; si vous voulez lire l'explication officielle sur le fonctionnement de cette fonctionnalité, Apple le détaille sur sa page de support: Contexte Amélioration de la sécurité (Apple).
Du point de vue de l'utilisateur, il est facile d'activer ou de vérifier ces mises à jour : sur l'iPhone et l'iPad, vous accédez aux paramètres, puis à la confidentialité et à la sécurité ; sur Mac, c'est à partir du système Apple > Paramètres > Confidentialité et sécurité. Apple avertit en outre que si une mise à jour de Background Security Improvements n'est pas intégrée, elle retournera à l'état de base du système et tous les correctifs supplémentaires appliqués en arrière-plan sont perdus, laissant ainsi l'appareil sans protections rapides jusqu'à ce que ces arrangements soient réappliqués ou inclus dans une mise à jour plus grande.
Cela implique une recommandation pratique: à moins qu'une mise à jour de fond ne crée des problèmes de compatibilité évidents sur votre ordinateur, Ce n'est pas une bonne idée de le désinstaller., parce qu'avec elle ils sont maintenus des échecs atténués qui pourraient être exploités à partir de pages Web manipulées ou malveillantes. Historiquement, les corrections critiques ont forcé une nouvelle version complète du système à être installé et redémarré - un processus plus lourd - mais avec cette fonctionnalité Apple peut réagir plus agilité aux menaces détectées peu à l'avance.
Pour ceux qui veulent un contexte plus technique sur WebKit et pourquoi ces corrections comptent, la page de projet officielle explique son architecture et ses fonctions: WebKit.org. Il est également possible de consulter le dossier public du CVE dans le catalogue de vulnérabilité pour voir le statut et les renvois : CVE-2026-20643 (NVD).
Bref, la nouvelle est positive du point de vue de la sécurité : la combinaison de la découverte responsable par un chercheur et la capacité d'Apple à déployer des patchs discrets réduit la fenêtre d'exposition de millions d'appareils. Comme toujours en sécurité, il est recommandé de tenir l'équipement à jour, de consulter la section Vie privée et sécurité pour confirmer que les mises à jour de fond sont actives et, face à tout comportement étrange après un patch, contacter le support ou consulter la documentation officielle.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...