Apple soluciona la fuga de datos de Safari IndexedDB en iOS 15.3 RC y macOS 12.2 RC

El lanzamiento del jueves de las versiones candidatas de macOS 12.2 y iOS 15.3 incluye una solución para una vulnerabilidad de seguridad reportada en Safari.

La semana pasada, el investigador de seguridad Martin Bajanik publicó detalles sobre una vulnerabilidad de seguridad en Safari 15, que permite a los sitios ver los nombres (pero no el contenido) de las bases de datos guardadas por otros sitios web. Potencialmente, esto puede servir como un método de toma de huellas digitales, pero Apple aparentemente está cerca de lanzar una solución tanto en macOS como en iOS.

El problema de seguridad está relacionado con DB indexado, una API web que permite a los sitios almacenar grandes cantidades de datos en el navegador. Bajanik dijo en una publicación de blog, "cada vez que un sitio web interactúa con una base de datos [en Safari 15], se crea una nueva base de datos (vacía) con el mismo nombre en todos los demás activos marcos, pestañas y ventanas dentro de la misma sesión del navegador". Esto permite a los sitios ver los nombres, pero no el contenido, de las bases de datos creadas por otros sitios. Es poco probable que se pueda filtrar información personal con este método, pero un sitio o script malicioso podría verificar y registrar otros sitios que haya visitado y que utilicen IndexedDB, lo que podría permitir

toma de huellas dactilares y otras violaciones (menores) de la privacidad. El sitio web safarileaks.com fue creado como una demostración del problema.

Afortunadamente, parece que Apple está trabajando rápidamente para solucionar el error. La versión candidata de iOS/iPadOS 15.3 fue lanzado a los desarrolladores hoy, así como macOS 12.2 RC, ambos con una versión parcheada de Safari 15.

Ahora que el error se ha solucionado en una versión candidata, debería estar disponible para todos bastante pronto. Mientras tanto, puedes utilizar un navegador web diferente en macOS. No existe una solución alternativa en iOS y iPadOS, ya que Apple no permite motores de renderizado de terceros en la App Store móvil.