Poważna luka w Safari

Na początku tygodnia spadła na nas jak grom z jasnego nieba informacja o poważnej luce w przeglądarce Safari. Dzięki temu błędowi, strony internetowe mogą dotrzeć do  informacji o odwiedzających ją użytkownikach. Informacje te oczywiście nie powinny być dostępne. 

Jak wyjaśnia FingerprintJS, firma, która odkryła błąd w Safari 15, luka to wynik implementacji przez Apple interfejsu IndexedDB API w Safari. IndexedDB przechowuje dane podczas przeglądania. Odpowiada „za zgodność z polityką mówiącą o tym, że dane i dokumenty z jednej witryny nie będą widoczne dla innej”.

Safari 15 łamie te zasady. Gdy witryna odwiedzana w Safari wchodzi w interakcję z bazą danych, „nowa  baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych oknach, kartach i oknach w tej samej sesji przeglądarki na innych urządzeniach”. Nazwy baz danych tworzone przez Safari wyciekają teraz z różnych źródeł. Odwiedzane strony internetowe mogą zobaczyć nazwy innych utworzonych w bazie rekordów.

 To nie wszystko. Witryny, które korzystają z konta Google, tworzą bazy danych zawierające uwierzytelniony identyfikator użytkownika Google. Złośliwe strony internetowe mogą nie tylko zobaczyć taki identyfikator, ale także użyć go do połączenia wielu kont. Problem jest więc poważny. Aby unaocznić ten błąd obejrzyjcie krótki film, wyjaśniający działania tego błędu.

Niestety w chwili obecnej nie możemy nic zrobić oprócz chwilowego porzucenia Safari, do momentu naprawienia błędu. Apple już pracuje nad załataniem tego błędu i miejmy nadzieję, że poprawka wyjdzie bardzo szybko.