macOS Monterey 12.2 および iOS 15.3 リリース候補は、閲覧アクティビティを漏らす Safari のバグを修正

本日公開された macOS Monterey 12.2 および iOS 15.3 リリース候補は、最近の閲覧履歴や個人情報の詳細が悪意のある組織に漏洩する可能性がある Safari のバグに対処しているようです。

ブラウザー フィンガープリント サービス FingerprintJS によって 先週共有された ように、IndexedDB JavaScript API の WebKit 実装に問題があります。 IndexedDB を使用する Web サイトは、同じ閲覧セッション中に他の Web サイトによって生成された IndexedDB データベースの名前にアクセスできます。

このバグにより、Web サイトは Safari が開いているときにユーザーが訪問する他の Web サイトをスパイすることができます。また、一部の Web サイトでは IndexedDB データベース名にユーザー固有の識別子が使用されているため、ユーザーとその閲覧習慣に関する個人情報が収集される可能性があります。

Apple の WebKit エンジンを使用するブラウザは影響を受けます。これには、Safari 15 for Mac、Safari for iOS 15 および iPadOS 15 が含まれます。Chrome などの一部のサードパーティ ブラウザも iOS および iPadOS 15 で影響を受けますが、macOS Monterey 12.2、iOS 15.3、 iPadOS 15.3 アップデートでは脆弱性が修正されます。

FingerprintJS は、ユーザーが影響を受けるかどうかを確認できるように デモ Web サイトを構築しました 。9to5Mac が 指摘 しているように、新しいソフトウェアに更新した後、Web サイトではセキュリティ ホールは検出されませんでした。

このウェブサイトは、ユーザーに自分の Google アカウントに関する詳細を伝えるように設計されています。 iOS 15.2.1 および macOS Monterey 12.1 でテストしたところ、 デモ Web サイトは Google アカウントを検出できました。 macOS Monterey 12.2 RC および iOS 15.3 RC にアップデートした後、デモ Web サイトではデータが検出されなくなりました。

Apple は今週初めにこのバグの 修正を準備し 、GitHub の WebKit ページにアップロードしたため、Apple がこの脆弱性に対処するために取り組んでいることがわかりました。 macOS Monterey 12.2 および iOS 15.3 のリリース候補が利用可能になったため、これらのアップデートは来週にも公開される可能性があります。