Apple behebt Safari-Bug, durch den Nutzerdaten durchsickerten

News
Von William Schubert, Sead Fadilpašić
veröffentlicht

Neue Versionen von Monterey und iOS sind jetzt verfügbar

Safari Tech Preview Logo auf MacBook Pro im Büro
(Bildnachweis: Apple)

Apple hat iOS 15.3 RC und macOS Monterey 12.2 RC an Entwickler und Beta-Benutzer verteilt, um einen Safari-Fehler zu beheben, der den Browserverlauf und einige Google-Daten durchsickern lies.

Zuvor wurde bekannt, dass Cybersecurity-Forscher von FingerprintJS ein Problem in einer Apple-API - IndexedDB - gefunden haben, die zum Speichern von Daten im Browser verwendet wird.

Safari 15 verfügt über eine Sicherheitsmaßnahme, die verhindert, dass böswillige Seiten, die in einem Tab geöffnet sind, die Daten von Websites lesen können, die in einem anderen Tab geöffnet sind. Die Forscher fanden heraus, dass sich die API nicht an diese Richtlinie hält und stattdessen eine neue Datenbank mit demselben Namen in allen anderen aktiven Frames, Tabs und Fenstern innerhalb derselben Browsersitzung erstellt.

Noch keine Veröffentlichung in die Breite

Bei der Beschreibung der Möglichkeiten, die Schwachstelle auszunutzen, erklärten die Forscher, dass eine bösartige Seite, die in einem Tab geöffnet wird, Daten erhalten kann, die von der Seite in einem anderen Tab erzeugt werden. Außerdem kann die Schwachstelle ausgenutzt werden, um an Google-Kontodaten zu gelangen.

Die Google-Dienste (z. B. YouTube) erstellen Datenbanken, die die eindeutige Google-Nutzer-ID in ihrem Namen enthalten. Da diese IDs verwendet werden, um auf öffentliche Informationen, wie z. B. ein Profilbild, zuzugreifen, könnten auch andere Seiten diese Daten sehen. 

FingerprintJS hat sogar eine eigene Website eingerichtet, um den Fehler in freier Wildbahn zu demonstrieren. Wie 9to5Mac berichtet, haben Tests auf Geräten, die auf iOS 15.3 RC und macOS 12.2 RC aktualisiert wurden, ergeben, dass die Website keine Daten mehr sieht und anzeigt, dass der Nutzer nicht in seinem Google-Konto angemeldet ist. 

Die Forscher behaupten, dass der Fehler alle iOS 15- und macOS Monterey-Versionen betrifft, bis zu dieser neuesten. iOS 14 war jedoch nicht betroffen, ebenso wenig wie diejenigen, die noch Safari 14 auf älteren Mac-Versionen verwenden.

Apple hat noch kein offizielles Veröffentlichungsdatum für diese neuen Versionen des Betriebssystems festgelegt, aber da die Release Candidate Version bereits ausgeliefert wurde, kann man davon ausgehen, dass es nicht mehr allzu lange dauern wird.

Via: 9to5Mac

William Schubert
William Schubert
Freelancer

Hi, ich bin William und als Experte für Gaming (insbesondere PlayStation), VR und YouTube hier bei TechRadar tätig. Seit 20 Jahren bin ich von Technik und Videospielen begeistert und ich teile meine Meinungen und Erfahrungen gerne mit anderen. Bei Fragen oder Anregungen erreicht ihr mich per E-Mail unter wschubert@purpleclouds.de