Die Veröffentlichung der Release Candidates für macOS 12.2 und iOS 15.3 am Donnerstag enthält einen Fix für eine gemeldete Safari-Sicherheitslücke.
Letzte Woche veröffentlichte der Sicherheitsforscher Martin Bajanik Details dazu eine Sicherheitslücke in Safari 15, wodurch Websites die Namen (jedoch nicht den Inhalt) von Datenbanken sehen können, die von anderen Websites gespeichert wurden. Dies kann möglicherweise als Fingerabdruckmethode dienen, Apple steht jedoch offenbar kurz davor, einen Fix für macOS und iOS zu veröffentlichen.
Das Sicherheitsproblem hängt mit zusammen IndexedDB, eine Web-API, die es Websites ermöglicht, große Datenmengen im Browser zu speichern. sagte Bajanik ein Blogbeitrag, „Jedes Mal, wenn eine Website mit einer Datenbank [auf Safari 15] interagiert, wird in allen anderen aktiven Datenbanken eine neue (leere) Datenbank mit demselben Namen erstellt Frames, Tabs und Fenster innerhalb derselben Browsersitzung.“ Dadurch können Websites die Namen, aber nicht den Inhalt der von erstellten Datenbanken sehen andere Seiten. Es ist unwahrscheinlich, dass mit dieser Methode personenbezogene Daten preisgegeben werden, aber eine böswillige Website oder ein bösartiges Skript könnte andere von Ihnen besuchte Websites, die IndexedDB verwenden, überprüfen und aufzeichnen – und dies möglicherweise zulassen
Fingerabdrücke und andere (geringfügige) Datenschutzverletzungen. Die Webseite safarileaks.com wurde als Demonstration des Problems erstellt.Zum Glück scheint Apple schnell daran zu arbeiten, den Fehler zu beheben. Der iOS/iPadOS 15.3 Release Candidate war Heute wurde es für Entwickler bereitgestelltsowie macOS 12.2 RC, die beide über eine gepatchte Version von Safari 15 verfügen.
Nachdem der Fehler nun in einem Release Candidate behoben wurde, sollte er bald für alle verfügbar sein. In der Zwischenzeit können Sie unter macOS einen anderen Webbrowser verwenden. Unter iOS und iPadOS gibt es keine Problemumgehung, da Apple im mobilen App Store keine Rendering-Engines von Drittanbietern zulässt.