换屋顶请找Annie xiao屋顶理赔

美国论坛德州华人网

安稳保险
 找回密码
 立即注册

扫一扫,访问微社区

大象搬家 全美运车
查看: 680|回复: 0

新版Safari存安全漏洞 或泄漏用户个人信息

[复制链接]

9475

主题

9523

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
33380
发表于 2022-1-17 15:58:30 | 显示全部楼层 |阅读模式
新版Safari存安全漏洞 或泄漏用户个人信息

图为民众在使用苹果公司(Apple)的iPhone手机。

资讯安全业者指出,新版Safari出现了严重漏洞,可能让用户的浏览记录个资外泄
上周五(1月14日),浏览器指纹识别与欺诈检测服务商Fingerprintjs在一篇博文中称(链接),新版Safari(Safari 15)出现一项严重漏洞。该漏洞源自Safari使用的浏览器排版引擎“WebKit”。
文章中称,在新版的WebKit中,IndexedDB API出现了错误,它没有遵守网站安全常用的“同源政策”(Same Origin Policy)。
“同源政策”意味着只有生成数据的网站才能访问它。例如,如果用户在一个分页(tab)中,打开电子邮件账户,然后在另一个分页中打开恶意网页,“同源策略”会阻止恶意网页查看、读取您的电子邮件。
Fingerprintjs称,IndexedDB是一个用于客户端存储的浏览器API,旨在保存大量的数据。
这项错误允许任何使用IndexedDB的网站,登入其他使用IndexedDB网站的用户端资料库。正常状况下,这些资料应是各自独立的。
举例来说,透过该漏洞,当使用者从Google页面转移到其它网页浏览时,网页就可存取Google的ID资讯,进而搜集更多资料,确定用户的身份。
透过这个安全漏洞,即使开启Safari 15的“私密浏览”(private mode)模式,也无法完全防止资料外泄,只能防止两个分页相互读取。如果在同一分页上,接连浏览两个网站,资料也可能外泄。
iPhone、iPad上所有浏览器都遭殃
这项漏洞已影响到macOS上的Safari 15,以及iOS、iPadOS 15上的所有浏览器。因为根据Apple的App Store指南要求,在iPhone或iPad上的所有浏览器都需使用“WebKit”引擎。
目前,需要等待Apple软件更新,才能解决该错误。
Fingerprintjs指出,在此之前,用户保护自己的方式之一,是预设阻止所有JavaScript,仅在信任的网站允许,但这会让浏览网页时相当不便。
对于macOS用户来说,另一种方式是改用别的浏览器。
不过,对于iPhone和iPad来说,这个方法并没有用,只能使用Safari 14以前的版本。


回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies

本版积分规则

美国网址大全

Archiver|手机版|小黑屋|美国论坛德州华人网

GMT-6, 2024-3-28 03:57 , Processed in 0.043435 second(s), 23 queries .

Powered by BBSHOUSTON X3.4

© 2001-2017

快速回复 返回顶部 返回列表