Apple hat iOS 15.3 RC und macOS Monterey 12.2 RC an Entwickler und Beta-Benutzer ausgeliefert, um einen Safari-Fehler zu beheben, der den Browserverlauf und einige Google-Daten preisgab.
Dies folgt auf die jüngste Nachricht, dass Cybersicherheitsforscher von FingerprintJS ein Problem in einer Apple-API, IndexedDB, gefunden haben, die zum Speichern von Daten im Browser verwendet wird.
Safari 15 verfügt über eine Sicherheitsmaßnahme, die verhindert, dass schädliche Seiten, die in einem Tab geöffnet werden, Daten lesen, die von Websites generiert werden, die in einem anderen Tab geöffnet werden. Die Forscher stellten fest, dass die API gegen diese Richtlinie verstößt und stattdessen in allen anderen aktiven Frames, Registerkarten und Fenstern innerhalb derselben Browsersitzung eine neue Datenbank mit demselben Namen erstellt.
Es gibt noch keine größere Version
Die Forscher beschrieben mögliche Möglichkeiten zur Ausnutzung des Fehlers und erklärten, dass eine bösartige Seite, die in einem Tab geöffnet wird, an Daten gelangen könnte, die von der Seite in einem anderen Tab generiert wurden. Darüber hinaus kann der Fehler ausgenutzt werden, um an Google-Kontodaten zu gelangen.
Google-Dienste (z. B. YouTube) erstellen Datenbanken, deren Namen die eindeutige Benutzer-ID von Google enthalten. Da diese Anmeldeinformationen für den Zugriff auf öffentliche Informationen, beispielsweise ein Profilbild, verwendet werden, können diese auch von anderen Websites angezeigt werden.
FingerprintJS hat sogar eine eigene Website erstellt, um den Fehler in freier Wildbahn zu demonstrieren. Wie 9to5Mac berichtet, hat nun die Prüfung des Fehlers auf Geräten, die auf iOS 15.3 RC und macOS 12.2 RC aktualisiert wurden, ergeben, dass die Website keine Daten mehr sieht und zeigt, dass ein Benutzer nicht in seinem Google-Konto angemeldet ist.
Die Forscher gaben an, dass der Fehler alle Versionen von iOS 15 und macOS Monterey bis zur neuesten Version betraf. iOS 14 war jedoch nicht betroffen, und auch diejenigen, die Safari 14 noch auf früheren Mac-Versionen nutzten, waren davon nicht betroffen.
Apple hat noch keinen offiziellen Veröffentlichungstermin für diese neuen Versionen des Betriebssystems festgelegt, aber da der Release Candidate bereits ausgeliefert wurde, kann man davon ausgehen, dass es nicht lange dauern wird.
- Sie können sich auch unsere Liste der derzeit besten Firewalls ansehen.
Über: 9to5Mac