2022年1月20日整理发布:Apple为WebKit漏洞准备了一个修复程序,该漏洞可能会泄露用户最近的浏览历史以及可能的身份。但是,尚不清楚这家科技巨头何时会发布带有该修复程序的更新。
根据MacRumors的说法,GitHub上的WebKit提交(通常是指对代码进行的修订)修复了一个错误。但是,Apple并未说明用户何时可以期待macOS、iOS或iPadOS更新与修复程序一起到来。FingerprintJS在1月14日的一篇博文中指出,该漏洞已于2021年11月28日向Apple报告。
MacRumors此前曾在1月16日报道过该漏洞,其中涉及一个名为IndexedDB的JavaScriptAPI,这是一种用于在人们的计算机上存储数据的常用工具。具体来说,该漏洞存在于WebKit(支持AppleSafari浏览器的开源引擎)实现IndexedDB的方式中。
简而言之,该漏洞允许任何使用IndexedDB的网站访问其他网站生成的IndexedDB数据库的名称。换句话说,如果网站使用此API存储了数据,则网站可以访问您访问过的其他网站的列表(甚至从不同的选项卡或窗口)。通常,浏览器对IndexedDB应用同源策略以防止站点访问其自己的IndexedDB数据库之外的任何内容。
此外,有时网站会在IndexedDB数据库名称中包含唯一的用户特定标识符。MacRumors以YouTube为例,它创建的数据库在名称中包含用户经过身份验证的Google用户ID。恶意行为者可以使用此标识符通过GoogleAPI获取有关用户的个人信息,例如他们的个人资料图片或姓名。
WebKit漏洞影响macOSMonterey、iOS15和iPadOS15上的Safari。在iOS和iPadOS上,Apple还强制第三方浏览器使用WebKit引擎——这意味着在iOS/iPadOS15上运行的Chrome和Edge等浏览器也会受到影响。但是,该错误不会影响旧版本的macOS或iOS和iPadOS14。
最终,这意味着iOS和iPadOS用户除了在Apple提供软件补丁时安装软件补丁之外,真的无法采取任何措施来保护自己免受漏洞的侵害。但是,对于macOS用户,切换到另一个浏览器是可行的。
版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
