A macOS 12.2 és iOS 15.3 Release Candidates csütörtöki kiadása tartalmazza a Safari bejelentett biztonsági résének javítását.
A múlt héten Martin Bajanik biztonsági kutató tett közzé részleteket a Safari 15 biztonsági rése, amely lehetővé teszi a webhelyek számára, hogy lássák a más webhelyek által mentett adatbázisok nevét (de nem a tartalmát). Ez potenciálisan ujjlenyomat-vételi módszerként szolgálhat, de az Apple látszólag közel áll a javításhoz mind a macOS, mind az iOS rendszeren.
A biztonsági probléma ehhez kapcsolódik IndexedDB, egy webes API, amely lehetővé teszi a webhelyek számára, hogy nagy mennyiségű adatot tároljanak a böngészőben. – mondta be Bajanik egy blogbejegyzést"Minden alkalommal, amikor egy webhely interakcióba lép egy adatbázissal [Safari 15-ön], egy új (üres) adatbázis jön létre azonos néven az összes többi aktív adatbázisban. keretek, lapok és ablakok ugyanazon a böngészőmunkameneten belül." Ez lehetővé teszi, hogy a webhelyek láthassák az általa létrehozott adatbázisok nevét, de a tartalmát nem más oldalak. Nem valószínű, hogy bármilyen személyes adat kiszivároghat ezzel a módszerrel, de egy rosszindulatú webhely vagy szkript ellenőrizheti és rögzítheti az Ön által meglátogatott más webhelyeket, amelyek IndexedDB-t használnak – ami potenciálisan lehetővé teszi a
ujjlenyomat és egyéb (kisebb) adatsértések. A weboldal safarileaks.com a probléma demonstrációjaként jött létre.Szerencsére úgy tűnik, hogy az Apple gyorsan dolgozik a hiba kijavításán. Az iOS/iPadOS 15.3 Release Candidate volt a mai napon megjelent a fejlesztők számára, valamint a macOS 12.2 RC, amelyek mindegyike rendelkezik a Safari 15 javított verziójával.
Most, hogy a hibát kijavították a Release Candidate-ben, hamarosan mindenki számára elérhetővé kell tenni. Addig is használhat egy másik webböngészőt a macOS rendszeren. iOS és iPadOS rendszeren nincs megoldás, mivel az Apple nem engedélyezi a harmadik féltől származó renderelő motorokat a mobil App Store-ban.