Apple коригира изтичането на данни от Safari IndexedDB в iOS 15.3 RC и macOS 12.2 RC

Изданието от четвъртък на macOS 12.2 и iOS 15.3 Release Candidates включва корекция за докладвана уязвимост в сигурността на Safari.

Миналата седмица изследователят по сигурността Мартин Баяник публикува подробности за уязвимост на сигурността в Safari 15, което позволява на сайтовете да виждат имената (но не и съдържанието) на бази данни, запазени от други уебсайтове. Това потенциално може да служи като метод за пръстови отпечатъци, но Apple изглежда е близо до пускането на корекция както за macOS, така и за iOS.

Проблемът със сигурността е свързан с Индексирана база данни, уеб API, който позволява на сайтовете да съхраняват големи количества данни в браузъра. Баяник каза в публикация в блог, "всеки път, когато уебсайт взаимодейства с база данни [в Safari 15], се създава нова (празна) база данни със същото име във всички други активни рамки, раздели и прозорци в една и съща сесия на браузъра." Това позволява на сайтовете да виждат имената, но не и съдържанието, на базите данни, създадени от други сайтове. Малко вероятно е лични данни да изтекат с този метод, но злонамерен сайт или скрипт може да провери и запише други сайтове, които сте посетили и които използват IndexedDB - което потенциално позволява

пръстови отпечатъци и други (незначителни) нарушения на поверителността. Уебсайтът safarileaks.com е създаден като демонстрация на проблема.

За щастие, изглежда, че Apple работи бързо, за да поправи грешката. Кандидатът за издаване на iOS/iPadOS 15.3 беше пуснати за разработчици по-рано днес, както и macOS 12.2 RC, като и двата имат закърпена версия на Safari 15.

Сега, след като грешката е коригирана в Release Candidate, тя трябва да се разпространи за всички доста скоро. Междувременно можете да използвате различен уеб браузър на macOS. Няма заобиколно решение за iOS и iPadOS, тъй като Apple не позволява двигатели за изобразяване на трети страни в мобилния App Store.