ההפצה של macOS 12.2 ו-iOS 15.3 ביום חמישי כוללת תיקון לפגיעות אבטחה מדווחת של Safari.
בשבוע שעבר פרסם חוקר האבטחה מרטין באג'ניק פרטים על פגיעות אבטחה ב-Safari 15, המאפשר לאתרים לראות את השמות (אך לא את התוכן) של מסדי נתונים שנשמרו על ידי אתרים אחרים. זה יכול לשמש כשיטת טביעת אצבע, אבל אפל קרובה לכאורה לשחרר תיקון גם ב-macOS וגם ב-iOS.
נושא האבטחה קשור ל IndexedDB, API אינטרנט המאפשר לאתרים לאחסן כמויות גדולות של נתונים בדפדפן. באג'ניק אמר פנימה פוסט בבלוג, "בכל פעם שאתר מקיים אינטראקציה עם מסד נתונים [בספארי 15], נוצר מסד נתונים חדש (ריק) באותו שם בכל שאר הפעילים מסגרות, כרטיסיות וחלונות בתוך אותה הפעלה של דפדפן." זה מאפשר לאתרים לראות את השמות, אך לא את התוכן, של מסדי נתונים שנוצרו על ידי אתרים אחרים. אין זה סביר שניתן לדלוף נתונים אישיים כלשהם בשיטה זו, אבל אתר או סקריפט זדוניים עלולים לבדוק ולהקליט אתרים אחרים שבהם ביקרת שמשתמשים ב- IndexedDB - מה שעלול לאפשר טביעת אצבע והפרות פרטיות אחרות (קטנות). האתר safarileaks.com נוצר כהדגמה לבעיה.
למרבה המזל, נראה שאפל עובדת במהירות כדי לתקן את הבאג. המועמד לשחרור iOS/iPadOS 15.3 היה
הושק למפתחים מוקדם יותר היום, כמו גם macOS 12.2 RC, שלשניהם יש גרסה מתוקנת של Safari 15.כעת, כשהבאג תוקן ב-Release Candidate, הוא אמור להתגלגל לכולם די בקרוב. בינתיים, אתה יכול להשתמש בדפדפן אינטרנט אחר ב-macOS. אין דרך לעקיפת הבעיה ב-iOS וב-iPadOS, מכיוון שאפל אינה מאפשרת מנועי עיבוד של צד שלישי בחנות האפליקציות לנייד.