木曜日の macOS 12.2 および iOS 15.3 リリース候補のリリースには、報告された Safari のセキュリティ脆弱性の修正が含まれています。
先週、セキュリティ研究者の Martin Bajanik 氏は、次の詳細を発表しました。 Safari 15 のセキュリティ脆弱性これにより、サイトは他の Web サイトによって保存されたデータベースの名前 (内容は表示されません) を表示できるようになります。 これはフィンガープリント手法として機能する可能性がありますが、Apple は macOS と iOS の両方で修正プログラムのリリースに近づいているようです。
セキュリティ問題に関連するのは、 インデックス付きDB、サイトがブラウザーに大量のデータを保存できるようにする Web API。 バジャニク氏はこう語った。 ブログ投稿、「Web サイトが [Safari 15 で] データベースと対話するたびに、同じ名前の新しい (空の) データベースが他のすべてのアクティブなデータベースに作成されます。 同じブラウザ セッション内のフレーム、タブ、ウィンドウ。」これにより、サイトは、によって作成されたデータベースの名前は表示されますが、内容は表示されません。 他のサイト。 この方法で個人データが漏洩する可能性はほとんどありませんが、悪意のあるサイトまたはスクリプトによって、IndexedDB を使用している訪問した他のサイトがチェックされ、記録される可能性があります。 指紋採取 およびその他の(軽度の)プライバシー侵害。 ウェブサイト サファリリークス.com 問題のデモンストレーションとして作成されました。
ありがたいことに、Apple はバグの修正に迅速に取り組んでいるようです。 iOS/iPadOS 15.3 リリース候補は 本日より開発者向けに公開されました、macOS 12.2 RC にも、パッチ適用済みバージョンの Safari 15 が含まれています。
このバグはリリース候補版で修正されたため、すぐに全員に公開される予定です。 それまでの間、macOS では別の Web ブラウザを使用できます。 Apple はモバイル App Store でサードパーティのレンダリング エンジンを許可していないため、iOS と iPadOS では回避策がありません。