Apple remediază scurgerea de date Safari IndexedDB în iOS 15.3 RC și macOS 12.2 RC

Lansarea de joi a candidaților pentru lansarea macOS 12.2 și iOS 15.3 include o remediere pentru o vulnerabilitate de securitate raportată Safari.

Săptămâna trecută, cercetătorul de securitate Martin Bajanik a publicat detalii despre o vulnerabilitate de securitate în Safari 15, care permite site-urilor să vadă numele (dar nu și conținutul) bazelor de date salvate de alte site-uri web. Aceasta poate servi ca metodă de amprentare, dar Apple pare să fie aproape de a lansa o remediere atât pe macOS, cât și pe iOS.

Problema de securitate este legată de IndexedDB, un API web care permite site-urilor să stocheze cantități mari de date în browser. a spus Bajanik în o postare pe blog, „de fiecare dată când un site web interacționează cu o bază de date [pe Safari 15], o nouă bază de date (vide) cu același nume este creată în toate celelalte cadre, file și ferestre în cadrul aceleiași sesiuni de browser." Acest lucru permite site-urilor să vadă numele, dar nu și conținutul bazelor de date create de alte site-uri. Este puțin probabil ca date personale să poată fi scurse prin această metodă, dar un site sau un script rău intenționat ar putea verifica și înregistra alte site-uri pe care le-ați vizitat și care utilizează IndexedDB - permițând posibil

amprentarea și alte încălcări (minore) ale confidențialității. Site-ul safarileaks.com a fost creat ca o demonstrație a problemei.

Din fericire, se pare că Apple lucrează rapid pentru a remedia eroarea. Candidatul pentru lansarea iOS/iPadOS 15.3 a fost lansat pentru dezvoltatori mai devreme astăzi, precum și macOS 12.2 RC, care ambele au o versiune corectată de Safari 15.

Acum că eroarea a fost remediată într-un candidat pentru lansare, ar trebui să fie difuzată pentru toată lumea destul de curând. Între timp, puteți utiliza un browser web diferit pe macOS. Nu există o soluție pentru iOS și iPadOS, deoarece Apple nu permite motoare de randare terță parte în App Store pentru mobil.