CVE-2026-20700

Vulnérabilité : Corruption de mémoire dans le composant dyld d’Apple

Une faille de sécurité critique, identifiée sous le numéro CVE-2026-20700, a été découverte dans le composant dyld d’Apple. Ce dernier est responsable du chargement des bibliothèques dynamiques nécessaires au fonctionnement des applications. La vulnérabilité, de type corruption de mémoire, pourrait permettre à un attaquant disposant des capacités d’écriture en mémoire d’exécuter du code arbitraire sur les appareils affectés.

Points clés :

• Nature de la vulnérabilité : Corruption de mémoire.
• Composant affecté : dyld (Dynamic Link Editor) d’Apple.
• Impact potentiel : Exécution de code arbitraire à distance.
• Exploitation observée : Des attaques “extrêmement sophistiquées” auraient ciblé des individus spécifiques sur des versions d’iOS antérieures à iOS 26.
• Découvreur : Google Threat Analysis Group.

Vulnérabilités :

• CVE-2026-20700

Produits affectés :

• watchOS
• tvOS
• macOS
• visionOS
• iOS
• iPadOS

Scores de risque (CVSS 3.1) :

• Score de base : 7.8 (Élevé)
• Chaîne de vecteur : CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Exploitation connue (CISA) :

• Nom de la vulnérabilité : Apple Multiple Buffer Overflow Vulnerability
• Ajoutée au catalogue KEV : 12 février 2026
• Action requise : Appliquer les correctifs fournis par le fournisseur, suivre les directives applicables pour les services cloud, ou cesser l’utilisation du produit si les correctifs ne sont pas disponibles.

Recommandations :

Apple a corrigé cette vulnérabilité via une gestion d’état améliorée dans les mises à jour suivantes :

• watchOS 26.3
• tvOS 26.3
• macOS Tahoe 26.3
• visionOS 26.3
• iOS 26.3
• iPadOS 26.3

Il est fortement recommandé de mettre à jour les systèmes d’exploitation concernés vers les versions corrigées pour se prémunir contre cette menace.

Source