Les versions candidates de macOS Monterey 12.2 et iOS 15.3 publiées aujourd'hui semblent résoudre un bug Safari qui pourrait entraîner la fuite de votre historique de navigation récent et des détails sur votre identité vers des entités malveillantes.
Comme il est partagé y a quelques jours, il existe un problème avec l'implémentation WebKit de l'API JavaScript IndexedDB. Tout site Web qui utilise IndexedDB peut accéder aux noms des bases de données IndexedDB générées par d'autres sites web au cours de la même session de navigation. Le bug permet à un site d'espionner d'autres sites web que l'utilisateur visite pendant que Safari est ouvert, et comme certains sites web utilisent des identifiants spécifiques à l'utilisateur dans leurs noms de base de données IndexedDB, des informations personnelles peuvent être glanées sur l'utilisateur et ses habitudes de navigation.
Les navigateurs qui utilisent le moteur WebKit d'Apple sont impactés, et cela inclut Safari 15 pour Mac et Safari pour iOS 15 et iPadOS 15 . Certains navigateurs tiers comme Chrome sont également affectés sur iOS et iPadOS 15, mais les mises à jour macOS Monterey 12.2, iOS 15.3 et iPadOS 15.3 corrigent la vulnérabilité.
FingerprintJS a construit un site de démonstration pour permettre aux utilisateurs de vérifier s'ils sont impactés, ce dernier est conçu pour donner aux utilisateurs des détails sur leurs comptes Google. Sur iOS 15.2.1 et macOS Monterey 12.1, et selon des tests, le site web de démonstration a pu détecter en premier le compte Google de la personne effectuant ce test. Après la mise à jour vers macOS Monterey 12.2 RC et iOS 15.3 RC, le site de démonstration ne détecte plus aucune donnée.
Apple plus tôt cette semaine a préparé un correctif pour le bug et l'a téléchargé sur la page WebKit sur GitHub, nous savions donc qu'Apple travaillait pour résoudre la vulnérabilité. Avec les versions candidates de macOS Monterey 12.2 et iOS 15.3 désormais disponibles, nous pourrions voir ces mises à jour être mises à la disposition du public dès la semaine prochaine.