IT商业网1月19日讯 上周末,根据浏览器指纹识别服务 FingerprintJS 消息,有媒体报告了 WebKit 的 JavaScript API 实现中的一个错误,称为 IndexedDB,它可以揭示你最近的浏览历史甚至你的身份。
根据GitHub 上的 WebKit 提交, 苹果已经准备好修复该错误,但在 苹果发布 macOS Monterey、iOS 15 和 iPadOS 15 更新以及更新版本的 Safari 之前,用户无法使用该修复。当被要求提供向公众发布修复程序的时间表时,苹果拒绝发表评论。
该漏洞允许任何使用 IndexedDB 进行客户端数据存储的网站在用户浏览会话期间访问其他网站生成的 IndexedDB 数据库的名称。该漏洞可能允许一个网站跟踪用户在不同选项卡或窗口中访问的其他网站,因为数据库名称通常特定于每个网站,有时数据库名称包含可能揭示用户身份的用户特定标识符。
FingerprintJS 有一个 bug 的现场演示,它影响使用 Apple 的开源浏览器引擎 WebKit 的较新版本的浏览器,包括适用于 macOS 的 Safari 15 和所有版本的 iOS 15 和 iPadOS 15 上的 Safari。该 bug 还影响第三方浏览器,如 Chrome和 iOS 15 和 iPadOS 15 上的 Edge,因为 Apple 要求所有 iPhone 和 iPad 浏览器都使用 WebKit。
根据 FingerprintJS 的说法,该错误不会影响 macOS 的 Safari 14 或 iOS 14 和 iPadOS 14 上的任何浏览器,它有一篇包含更多详细信息的博客文章。