Apple corrige la fuite de données Safari IndexedDB dans iOS 15.3 RC et macOS 12.2 RC

La version de jeudi des versions candidates de macOS 12.2 et iOS 15.3 inclut un correctif pour une vulnérabilité de sécurité signalée dans Safari.

La semaine dernière, le chercheur en sécurité Martin Bajanik a publié des détails sur une faille de sécurité dans Safari 15, qui permet aux sites de voir les noms (mais pas le contenu) des bases de données enregistrées par d'autres sites Web. Cela peut potentiellement servir de méthode de prise d'empreintes digitales, mais Apple est apparemment sur le point de publier un correctif sur macOS et iOS.

Le problème de sécurité est lié à Base de données indexée, une API Web qui permet aux sites de stocker de grandes quantités de données dans le navigateur. Bajanik a dit dans un article de blog, "chaque fois qu'un site Web interagit avec une base de données [sur Safari 15], une nouvelle base de données (vide) portant le même nom est créée dans tous les autres sites actifs. cadres, onglets et fenêtres au sein de la même session de navigateur. » Cela permet aux sites de voir les noms, mais pas le contenu, des bases de données créées par d'autres sites. Il est peu probable que des données personnelles puissent être divulguées avec cette méthode, mais un site ou un script malveillant pourrait vérifier et enregistrer d'autres sites que vous avez visités et qui utilisent IndexedDB, ce qui pourrait potentiellement permettre

prise d'empreintes digitales et d’autres violations (mineures) de la vie privée. Le site Web safarileaks.com a été créé pour démontrer le problème.

Heureusement, il semble qu’Apple travaille rapidement pour corriger le bug. La version candidate iOS/iPadOS 15.3 était déployé auprès des développeurs plus tôt dans la journée, ainsi que macOS 12.2 RC, qui disposent tous deux d'une version corrigée de Safari 15.

Maintenant que le bug a été corrigé dans une Release Candidate, il devrait être déployé auprès de tout le monde assez prochainement. En attendant, vous pouvez utiliser un autre navigateur Web sur macOS. Il n'existe aucune solution de contournement sur iOS et iPadOS, car Apple n'autorise pas les moteurs de rendu tiers sur l'App Store mobile.