Apple 向公众发布了最新的 iOS 15.3、iPadOS 15.3 和 macOS Monterey 12.2更新,包括对 Apple 设备的各种错误修复和性能改进。如果您错过了,我们今天早些时候已经报告了这些变化。新的更新集中在一个严重的安全漏洞上,该漏洞影响了苹果自己的软件 Safari。
Safari 漏洞在 1 月中旬被发现并被广泛报道,是苹果生态系统中比较严重的漏洞。该漏洞允许 Safari 网络浏览器泄露用户的浏览历史和活动,从而泄露个人和私人信息。如果用户已登录,该漏洞还会共享来自链接的 Google 帐户的一些信息。
该软件漏洞允许网站使用登录的 Google 帐户跟踪用户。该漏洞允许 IndexedDB(一种在浏览器中存储数据的 API)提供对网站的访问,并共享用户活动的个人信息、Google 帐户信息等。IndexedDB 数据库从未公开共享,也不会发布个人信息,但漏洞能够针对系统中的缺陷并收集信息。
同样重要的是要注意该错误不需要用户输入任何个人信息或触发任何操作,它默认工作。如果您在 iPhone、iPad 或 Mac 设备上依赖 Safari,建议您立即更新以防止任何恶意活动并保护您的私人信息。该漏洞影响了在 iOS 15、macOS Monterey 和 iPadOS 设备上运行 Safari 15 的所有设备,因为所有这些设备都使用 Apple 的开源 WebKit 引擎(以及第三方浏览器,如 Google Chrome、Microsoft Edge 也需要使用该引擎) iPhone 和 iPad 上的引擎)。
“在后台运行并不断查询 IndexedDB API 以获取可用数据库的选项卡或窗口可以实时了解用户访问的其他网站。或者,网站可以在 iframe 或弹出窗口中打开任何网站以触发该特定站点的基于 IndexedDB 的泄漏。”