Выпущенные в четверг версии-кандидаты macOS 12.2 и iOS 15.3 включают исправление обнаруженной уязвимости безопасности Safari.
На прошлой неделе исследователь безопасности Мартин Баяник опубликовал подробности о уязвимость безопасности в Safari 15, что позволяет сайтам видеть имена (но не содержимое) баз данных, сохраненных другими веб-сайтами. Потенциально это может служить методом снятия отпечатков пальцев, но Apple, похоже, близка к выпуску исправления как для macOS, так и для iOS.
Вопрос безопасности связан с ИндекседБД, веб-API, позволяющий сайтам хранить большие объемы данных в браузере. Баяник сказал в сообщение в блоге, «каждый раз, когда веб-сайт взаимодействует с базой данных [в Safari 15], во всех остальных активных фреймы, вкладки и окна в одном сеансе браузера». Это позволяет сайтам видеть имена, но не содержимое баз данных, созданных другие сайты. Утечка каких-либо личных данных с помощью этого метода маловероятна, но вредоносный сайт или скрипт может проверять и записывать другие сайты, которые вы посещали и которые используют IndexedDB, что потенциально позволяет
снятие отпечатков пальцев и другие (незначительные) нарушения конфиденциальности. Веб-сайт safarileaks.com был создан как демонстрация проблемы.К счастью, похоже, что Apple быстро работает над исправлением ошибки. Кандидат на выпуск iOS/iPadOS 15.3 был был представлен разработчикам сегодня утром, а также macOS 12.2 RC, обе из которых имеют исправленную версию Safari 15.
Теперь, когда ошибка исправлена в Release Candidate, довольно скоро она должна стать доступной для всех. Тем временем вы можете использовать другой веб-браузер на macOS. На iOS и iPadOS обходного пути нет, поскольку Apple не разрешает использование сторонних механизмов рендеринга в магазине мобильных приложений.