Torsdagens release av macOS 12.2 och iOS 15.3 Release Candidates inkluderar en fix för en rapporterad säkerhetssårbarhet i Safari.
Förra veckan publicerade säkerhetsforskaren Martin Bajanik detaljer om en säkerhetsrisk i Safari 15, som tillåter webbplatser att se namnen (men inte innehållet) på databaser som sparats av andra webbplatser. Detta kan potentiellt fungera som en fingeravtrycksmetod, men Apple är till synes nära att släppa en fix på både macOS och iOS.
Säkerhetsfrågan är relaterad till IndexeradDB, ett webb-API som tillåter webbplatser att lagra stora mängder data i webbläsaren. sa Bajanik in ett blogginlägg, "varje gång en webbplats interagerar med en databas [på Safari 15], skapas en ny (tom) databas med samma namn i alla andra aktiva ramar, flikar och fönster inom samma webbläsarsession." Detta gör att webbplatser kan se namnen, men inte innehållet, i databaser som skapats av andra webbplatser. Det är osannolikt att någon personlig information kan läcka med den här metoden, men en skadlig webbplats eller ett skadligt skript kan kontrollera och spela in andra webbplatser som du har besökt som använder IndexedDB – vilket eventuellt tillåter
fingeravtryck och andra (mindre) integritetskränkningar. Hemsidan safarileaks.com skapades som en demonstration av problemet.Tack och lov ser det ut som att Apple arbetar snabbt för att fixa felet. iOS/iPadOS 15.3 Release Candidate var rullades ut till utvecklare tidigare idag, samt macOS 12.2 RC, som båda har en korrigerad version av Safari 15.
Nu när buggen har åtgärdats i en releasekandidat bör den rullas ut till alla ganska snart. Under tiden kan du använda en annan webbläsare på macOS. Det finns ingen lösning på iOS och iPadOS, eftersom Apple inte tillåter renderingsmotorer från tredje part i den mobila App Store.