Η Apple διορθώνει τη διαρροή δεδομένων Safari IndexedDB σε iOS 15.3 RC & macOS 12.2 RC

σύντομο δελτίο ειδήσεων XdaOct 29, 2023
click fraud protection

Η κυκλοφορία της Πέμπτης του macOS 12.2 και του iOS 15.3 Οι υποψήφιοι για κυκλοφορία περιλαμβάνουν μια επιδιόρθωση για μια αναφερόμενη ευπάθεια ασφαλείας του Safari.

Την περασμένη εβδομάδα, ο ερευνητής ασφάλειας Μάρτιν Μπάγιανικ δημοσίευσε λεπτομέρειες σχετικά με μια ευπάθεια ασφαλείας στο Safari 15, το οποίο επιτρέπει στους ιστότοπους να βλέπουν τα ονόματα (αλλά όχι τα περιεχόμενα) των βάσεων δεδομένων που έχουν αποθηκευτεί από άλλους ιστότοπους. Αυτό μπορεί δυνητικά να χρησιμεύσει ως μέθοδος λήψης δακτυλικών αποτυπωμάτων, αλλά η Apple φαίνεται ότι είναι κοντά στην κυκλοφορία μιας επιδιόρθωσης τόσο στο macOS όσο και στο iOS.

Το θέμα της ασφάλειας σχετίζεται με IndexedDB, ένα web API που επιτρέπει στους ιστότοπους να αποθηκεύουν μεγάλες ποσότητες δεδομένων στο πρόγραμμα περιήγησης. είπε μέσα ο Μπάγιανικ μια ανάρτηση ιστολογίου, "κάθε φορά που ένας ιστότοπος αλληλεπιδρά με μια βάση δεδομένων [στο Safari 15], δημιουργείται μια νέα (κενή) βάση δεδομένων με το ίδιο όνομα σε όλες τις άλλες ενεργές πλαίσια, καρτέλες και παράθυρα εντός της ίδιας περιόδου λειτουργίας προγράμματος περιήγησης." Αυτό επιτρέπει στους ιστότοπους να βλέπουν τα ονόματα, αλλά όχι τα περιεχόμενα, των βάσεων δεδομένων που δημιουργούνται από άλλους ιστότοπους. Είναι απίθανο να υπάρξει διαρροή προσωπικών δεδομένων με αυτήν τη μέθοδο, αλλά ένας κακόβουλος ιστότοπος ή σενάριο θα μπορούσε να ελέγξει και να καταγράψει άλλους ιστότοπους που έχετε επισκεφτεί και οι οποίοι χρησιμοποιούν το IndexedDB — ενδεχομένως επιτρέποντας

δακτυλικών αποτυπωμάτων και άλλες (μικρές) παραβιάσεις της ιδιωτικής ζωής. Η ιστοσελίδα safarileaks.com δημιουργήθηκε ως επίδειξη του προβλήματος.

Ευτυχώς, φαίνεται ότι η Apple εργάζεται γρήγορα για να διορθώσει το σφάλμα. Ο υποψήφιος έκδοσης iOS/iPadOS 15.3 ήταν κυκλοφόρησε στους προγραμματιστές νωρίτερα σήμερα, καθώς και το macOS 12.2 RC, που και τα δύο έχουν μια ενημερωμένη έκδοση του Safari 15.

Τώρα που το σφάλμα έχει επιδιορθωθεί σε ένα Release Candidate, θα πρέπει να κυκλοφορήσει σε όλους αρκετά σύντομα. Στο μεταξύ, μπορείτε να χρησιμοποιήσετε διαφορετικό πρόγραμμα περιήγησης ιστού στο macOS. Δεν υπάρχει λύση για το iOS και το iPadOS, καθώς η Apple δεν επιτρέπει μηχανές απόδοσης τρίτων στο App Store για κινητά.