Iskorištavanje curenja informacija IndexedDB API-ja u Safariju 15

FingerprintJS, tvrtka za borbu protiv prijevara na web stranicama, napisala je prije nekoliko dana članak otkrivajući ozbiljnu ranjivosti u pregledniku Safari. Pa čak da su i podaci o nedavnim pregledavanju korisnika i podaci o Google računu procurili. O čemu se radi?

U verziji Safarija za MacOS i iOS, ranjivost programa IndexedDB omogućuje web stranici da dobije bazu podataka bilo kojeg naziva domene koju i korisnik pregledava. Ova ranjivost će također otkriti podatke o računima za prijavu Google korisnika. Sve dok zlonamjerne web stranice koriste ranjivost mogu dobiti račun za prijavu Google korisnika, a zatim druge osobne podatke korisnika putem API zahtjeva.

Na demonstracijskoj web stranici koju pruža FingerprintJS, očito je da ova ranjivost može vidjeti najmanje 30 imena domena koje pregledavaju korisnici Safarija i dalje koristiti kriminalci u širem rasponu.
Gore spomenuta Safari ranjivost potencijalno bi mogla utjecati na bilo koje web stanicu koja koristi IndexedDB JavaScript API, što bi moglo rezultirati presretanjem korisničkih podataka.

FingerprintJS je naglasio da su pogođeni trenutni preglednici Safari na iPhoneu, iPadu i Macu. Curenje su prijavili WebKit Bug Trackeru 28. studenog 2021. kao bug 233548 i tek je sada počeo postupak rješavanja problema.

Pretplatite se na naš YouTube kanal kako bi uživali u videozapisima i pratite nove sadržaje sa portala na Facebook platformi, dijelite ih, komentirajte i lajkajte. Prisutni smo i na Twitteru.

DRUGE NOVOSTI

Novi QNAP TS-h1077AFU je kompaktni NAS s iznenađujuće dobrim performansama

Intel navodno prisiljava proizvođače računala na prelazak na 18A procesore: stari Intel 7 čipovi postaju sve nedostupniji

AMD ulaže više od 10 milijardi dolara u novu etapu globalne AI trke

12 najvećih najava s Google I/O 2026: Gemini 3.5, AI agenti i pametne XR naočale