Apple начала работу над исправлением обнаруженной ранее уязвимости в фирменном браузере Safari. Об этом сообщают несколько зарубежных СМИ, в том числе 9to5Mac.
Речь идет об уязвимости в системе идентификации пользователя веб-сайтами при использовании Safari. Ранее FingerprintJS обнаружил в «яблочном» браузере ошибку, которая позволяла любому сайту — в том числе вредоносному — «заглянуть» в хранилище баз данных IndexedDB других сайтов. Уточним, что эти базы хранятся локально на устройстве пользователя. Полученными данными зловред может воспользоваться для кражи как отдельных данных из аккаунтов пользователя, так и всей учетной записи целиком. Особенно уязвимы оказались базы аккаунтов Google.
Согласно источнику, эта «дыра» оказалась общей недоработкой движка WebKit, на основе которого как раз и собран Safari. Поскольку WebKit является ПО с открытым исходным кодом, то все касающиеся его разработки отражаются на GitHub, на специализированной страничке. Сейчас там можно увидеть, что инженеры Apple принялись исправлять недоработки, касающиеся IndexedDB в API JavaScript.
Пока неизвестно, как скоро уязвимость будет закрыта. В настоящий момент у Apple в статусе бета-версий находятся несколько апдейтов: iOS 15.3, iPadOS 15.3 и macOS Monterey 12.2 — возможно, мы получим «заплатку» в релизных версиях этих обновлений. Источник отмечает, что версия WebKit, которая используется в Safari 14 (iOS 14, iPadOS 14 и macOS 11), не имеет указанной уязвимости — то есть, проблема касается только самых свежих «яблочных» ОС.
Ранее мы рассказали, что власти США предпринимают новые попытки заставить Apple разрешить установку приложений на iPhone и iPad в обход App Store. Компания очень недовольна этим.