De release van donderdag van de macOS 12.2 en iOS 15.3 Release Candidates bevat een oplossing voor een gemeld beveiligingsprobleem in Safari.
Vorige week publiceerde veiligheidsonderzoeker Martin Bajanik details over een beveiligingsprobleem in Safari 15, waarmee sites de namen (maar niet de inhoud) kunnen zien van databases die door andere websites zijn opgeslagen. Dit kan mogelijk dienen als een methode voor het nemen van vingerafdrukken, maar Apple lijkt dicht bij het uitbrengen van een oplossing voor zowel macOS als iOS.
Het beveiligingsprobleem houdt verband met GeïndexeerdeDB, een web-API waarmee sites grote hoeveelheden gegevens in de browser kunnen opslaan. zei Bajanik een blogpost, "elke keer dat een website interactie heeft met een database [in Safari 15], wordt er een nieuwe (lege) database met dezelfde naam aangemaakt in alle andere actieve frames, tabbladen en vensters binnen dezelfde browsersessie." Hierdoor kunnen sites de namen zien, maar niet de inhoud, van databases die zijn gemaakt door andere sites. Het is onwaarschijnlijk dat er met deze methode persoonlijke gegevens kunnen worden gelekt, maar een kwaadwillende site of script kan andere sites die u hebt bezocht en die IndexedDB gebruiken, controleren en registreren.
Gelukkig lijkt het erop dat Apple snel werkt om de bug op te lossen. De iOS/iPadOS 15.3 Release Candidate was eerder vandaag uitgerold naar ontwikkelaars, evenals de macOS 12.2 RC, die beide een gepatchte versie van Safari 15 hebben.
Nu de bug is opgelost in een Release Candidate, zou deze vrij snel voor iedereen beschikbaar moeten zijn. In de tussentijd kunt u een andere webbrowser op macOS gebruiken. Er is geen oplossing voor iOS en iPadOS, aangezien Apple geen rendering-engines van derden toestaat in de mobiele App Store.