1月19日消息,上周末,IT之家报道称WebKit中名为IndexedDB的JavaScriptAPI存在漏洞,可泄露用户近期浏览历史甚至身份。根据GitHub上的WebKit提交,Apple已经准备好修复该错误,但在Apple发布适用于macOSMonterey、iOS15和iPadOS15的新版Safari之前,用户无法使用该修复程序。Apple拒绝就何时发布置评要求提供向公众发布修复程序的时间框架。该漏洞允许任何使用IndexedDB进行客户端数据存储的网站在用户浏览会话期间访问其他网站生成的IndexedDB数据库的名称。此错误可能允许网站跟踪用户在不同选项卡或窗口中访问的其他网站,因为数据库名称通常对每个网站都是唯一的,有时包含可能泄露用户身份的用户特定标识符。FingerprintJS有一个该错误的现场演示,它会影响使用Apple的开源浏览器引擎WebKit的较新版本的浏览器,包括macOS上的Safari15以及所有版本的iOS15和iPadOS15上的Safari。该错误还影响第三方iOS15和iPadOS15上的Chrome和Edge等浏览器,因为Apple要求所有iPhone和iPad浏览器都使用WebKit。FingerprintJS表示,该错误不会影响macOS上的Safari14,也不会影响iOS14和iPadOS14上的任何浏览器。
