Il rilascio di giovedì delle versioni candidate per macOS 12.2 e iOS 15.3 include una correzione per una vulnerabilità di sicurezza segnalata in Safari.
La settimana scorsa, il ricercatore di sicurezza Martin Bajanik ha pubblicato i dettagli su una vulnerabilità di sicurezza in Safari 15, che consente ai siti di vedere i nomi (ma non i contenuti) dei database salvati da altri siti web. Questo può potenzialmente servire come metodo di rilevamento delle impronte digitali, ma Apple sembra essere vicina a rilasciare una correzione sia su macOS che su iOS.
Il problema della sicurezza è legato a DB indicizzato, un'API Web che consente ai siti di archiviare grandi quantità di dati nel browser. Bajanik ha detto un post sul blog, "ogni volta che un sito web interagisce con un database [su Safari 15], viene creato un nuovo database (vuoto) con lo stesso nome in tutti gli altri database attivi frame, schede e finestre all'interno della stessa sessione del browser." Ciò consente ai siti di vedere i nomi, ma non il contenuto, dei database creati da altri siti. È improbabile che con questo metodo possano trapelare dati personali, ma un sito o uno script dannoso potrebbe controllare e registrare altri siti visitati che utilizzano IndexedDB, consentendo potenzialmente
impronte digitali e altre (minori) violazioni della privacy. Il sitoweb safarileaks.com è stato creato come dimostrazione del problema.Per fortuna, sembra che Apple stia lavorando rapidamente per correggere il bug. La release candidate iOS/iPadOS 15.3 era è stato distribuito agli sviluppatori oggi, così come macOS 12.2 RC, entrambi dotati di una versione patchata di Safari 15.
Ora che il bug è stato corretto in una Release Candidate, dovrebbe essere reso disponibile a tutti abbastanza presto. Nel frattempo, puoi utilizzare un browser Web diverso su macOS. Non esiste alcuna soluzione alternativa su iOS e iPadOS, poiché Apple non consente motori di rendering di terze parti sull'App Store mobile.