O lançamento de quinta-feira do macOS 12.2 e iOS 15.3 Release Candidates inclui uma correção para uma vulnerabilidade de segurança relatada no Safari.
Na semana passada, o pesquisador de segurança Martin Bajanik publicou detalhes sobre uma vulnerabilidade de segurança no Safari 15, que permite que os sites vejam os nomes (mas não o conteúdo) dos bancos de dados salvos por outros sites. Isso pode servir potencialmente como um método de impressão digital, mas a Apple parece estar perto de lançar uma correção no macOS e no iOS.
A questão da segurança está relacionada Banco de dados indexado, uma API da web que permite que sites armazenem grandes quantidades de dados no navegador. Bajanik disse em uma postagem no blog, "cada vez que um site interage com um banco de dados [no Safari 15], um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros ativos frames, guias e janelas na mesma sessão do navegador." Isso permite que os sites vejam os nomes, mas não o conteúdo, dos bancos de dados criados por outros sites. É improvável que quaisquer dados pessoais possam ser vazados com esse método, mas um site ou script malicioso pode verificar e registrar outros sites que você visitou que usam IndexedDB – potencialmente permitindo
impressão digital e outras violações (menores) de privacidade. O site safarileaks. com foi criado como uma demonstração do problema.Felizmente, parece que a Apple está trabalhando rapidamente para corrigir o bug. O iOS/iPadOS 15.3 Release Candidate foi lançado para desenvolvedores hoje cedo, bem como o macOS 12.2 RC, ambos com uma versão corrigida do Safari 15.
Agora que o bug foi corrigido em um Release Candidate, ele deve ser lançado para todos em breve. Enquanto isso, você pode usar um navegador diferente no macOS. Não há solução alternativa no iOS e iPadOS, já que a Apple não permite mecanismos de renderização de terceiros na App Store móvel.