Apple ka lëshuar RC (Release Candidate) të macOS 12.2 dhe iOS 15.3 i cili zgjidh problemin e sigurisë të zbuluar nga FingerprintJS në Safari. Kompania Cupertino kishte konfirmuar ekzistencën e defektit në faqen WebKit në GitHub. Nuk dihet se kur do të jenë të disponueshme versionet përfundimtare të dy sistemeve operative.
Dobësia ekziston në API-në IndexedDB që lejon faqet e internetit të ruajnë sasi të mëdha të dhënash në shfletues. Zbatimi i Safari 15 në macOS, iOS dhe iPadOS (por edhe shfletues të tjerë për iOS / iPadOS që përdorin WebKit) nuk respekton politikën e “të njëjtës origjinë” që parandalon një dokument ose skript të ngarkuar nga një sajt të ndërveprojë me burimet e një faqe tjetër.
Për shkak të gabimit, sa herë që një sajt ndërvepron me bazën e të dhënave të krijuar me IndexedDB, krijohet një bazë e re e zbrazët e të dhënave me të njëjtin emër në të gjitha skedat ose dritaret aktive brenda të njëjtit sesion. Kjo lejon që një sajt arbitrar të shohë se cilat faqe janë vizituar nga përdoruesi, pasi emri i bazës së të dhënave korrespondon me faqen e vetme. Më pas mund të hyni në historinë tuaj të shfletimit. Për disa sajte, si YouTube, Google Calendar dhe Google Keep, baza e të dhënave përfshin ID-në e Google (identifikuesin e lidhur me llogarinë), kështu që është gjithashtu e mundur të aksesoni informacionin personal.
FingerprintJS ka publikuar një faqe për të kontrolluar nëse shfletuesi është i cenueshëm. Instalimi i RC-ve të macOS 12.2 dhe iOS 15.3 rregullon defektin. Versionet përfundimtare pritet të dalin javën e ardhshme. Ndërkohë, mund të përdorni një shfletues tjetër në macOS. Në iOS nuk ka alternativa, pasi të gjithë shfletuesit bazohen në WebKit.
Discussion about this post