Apple naprawia wyciek danych Safari IndexedDB w iOS 15.3 RC i macOS 12.2 RC

W zeszłym tygodniu badacz bezpieczeństwa Martin Bajanik opublikował szczegółowe informacje na temat luka w zabezpieczeniach przeglądarki Safari 15, która umożliwia witrynom przeglądanie nazw (ale nie zawartości) baz danych zapisanych przez inne witryny internetowe. Może to potencjalnie służyć jako metoda pobierania odcisków palców, ale Apple najwyraźniej jest bliski wypuszczenia poprawki zarówno dla systemu macOS, jak i iOS.

Problem bezpieczeństwa jest powiązany z Indeksowana baza danych, internetowy interfejs API, który umożliwia witrynom przechowywanie dużych ilości danych w przeglądarce. – oznajmił Bajanik wpis na blogu„za każdym razem, gdy witryna internetowa wchodzi w interakcję z bazą danych [w przeglądarce Safari 15], we wszystkich innych aktywnych witrynach tworzona jest nowa (pusta) baza danych o tej samej nazwie ramki, karty i okna w ramach tej samej sesji przeglądarki.” Dzięki temu witryny mogą zobaczyć nazwy, ale nie zawartość baz danych utworzonych przez inne strony. Jest mało prawdopodobne, że tą metodą wyciekną jakiekolwiek dane osobowe, ale złośliwa witryna lub skrypt może sprawdzać i rejestrować inne odwiedzane witryny, które korzystają z IndexedDB — potencjalnie umożliwiając

odciski palców oraz inne (drobne) naruszenia prywatności. Strona internetowa safarileaks.com powstał jako demonstracja problemu.

Na szczęście wygląda na to, że Apple szybko pracuje nad naprawieniem błędu. Kandydatem do wydania systemu iOS/iPadOS 15.3 był udostępniono programistom wcześniej dzisiaj, a także macOS 12.2 RC, w których oba mają poprawioną wersję przeglądarki Safari 15.

Teraz, gdy błąd został naprawiony w wersji Release Candidate, powinien wkrótce zostać udostępniony wszystkim. W międzyczasie możesz używać innej przeglądarki internetowej w systemie macOS. Nie ma żadnego obejścia w systemach iOS i iPadOS, ponieważ Apple nie zezwala na stosowanie silników renderujących innych firm w sklepie z aplikacjami mobilnymi.