Apple отправила iOS 15.3 RC и macOS Monterey 12.2 RC разработчикам и пользователям бета-версии в рамках плана по исправлению ошибки Safari, которая привела к утечке истории просмотров и некоторых данных из Google.
Это следует за недавними новостями о том, что исследователи кибербезопасности из FingerprintJS обнаружили проблему в API Apple, IndexedDB, используемом для хранения данных в браузере.
В Safari 15 есть мера безопасности, которая не позволяет вредоносным страницам, открытым на одной вкладке, читать данные, сгенерированные веб-сайтами, открытыми на другой вкладке. Исследователи обнаружили, что API нарушает эту политику и вместо этого создает новую базу данных с тем же именем во всех других активных фреймах, вкладках и окнах в рамках одного сеанса браузера.
Больше версии пока нет
Описывая возможные способы использования уязвимости, исследователи пояснили, что вредоносная страница, открытая на одной вкладке, может получить данные, сгенерированные страницей на другой. Кроме того, уязвимость может быть использована для получения данных учетной записи Google.
Сервисы Google (например, YouTube) генерируют базы данных, содержащие в своих именах уникальный идентификатор пользователя Google. Поскольку эти учетные данные используются для доступа к общедоступной информации, такой как изображение профиля, другие сайты также могут ее видеть.
FingerprintJS даже создал специальный веб-сайт для демонстрации ошибки в реальных условиях. Теперь, как сообщает 9to5Mac, тестирование уязвимости на устройствах, обновленных до iOS 15.3 RC и macOS 12.2 RC, показало, что веб-сайт больше не видит никаких данных и показывает, что пользователь не вошел в свою учетную запись Google.
Исследователи заявили, что уязвимость затронула все версии iOS 15 и macOS Monterey, вплоть до самой последней. Однако iOS 14 не пострадала, равно как и те, кто все еще использует Safari 14 на более ранних версиях Mac.
Apple еще не установила официальную дату выпуска этих новых версий ОС, но, поскольку Release Candidate уже выпущен, можно с уверенностью предположить, что это не займет много времени.
- Вы также можете проверить наш список лучших брандмауэров прямо сейчас.
Через: 9to5Mac