上周,WebKit的一个漏洞被曝光,黑客可以通过名为IndexedDB的JavaScriptAPI实现入侵。浏览器指纹识别服务FingerprintJS表示,该错误可能会泄露您最近的浏览历史记录,甚至您的身份。根据GitHub上的WebKit提交,Apple已经准备好修复该错误,但在Apple发布适用于macOSMonterey、iOS15和iPadOS15的Safari更新版本之前,用户无法使用该修复程序。Apple拒绝置评当被问及向公众发布修复程序的时间框架时。该漏洞允许任何使用IndexedDB进行客户端数据存储的网站在用户浏览会话期间访问其他网站生成的IndexedDB数据库的名称。此错误可能允许网站跟踪用户在不同选项卡或窗口中访问的其他网站,因为数据库名称通常对每个网站都是唯一的,有时包含可能泄露用户身份的用户特定标识符。FingerprintJS有一个该错误的现场演示,它会影响使用Apple的开源浏览器引擎WebKit的较新版本的浏览器,包括macOS上的Safari15和所有版本的iOS15/iPadOS15上的Safari。该错误还会影响第三方浏览器就像iOS15和iPadOS15上的Chrome和Edge,因为Apple要求所有iPhone和iPad浏览器都使用WebKit。
