據 MacRumors 報道,根據浏覽器(qì)指紋識别服務提供商 Fi志高ngerprintJS 周五分享的一篇博客文章,We錢書bKit 的一個名為(wèi) IndexedDB 的 JavaScr內冷ipt API 中的一個 Bug 可以洩露用戶最近間慢的浏覽曆史甚至身份。
該 Bug 允許任何使用 IndexedDB 的網站匠西在用戶浏覽會(huì)話期間訪問其他(tā)網站生成的 IndexedD鐘河B 數據庫的名稱。這個漏洞可以讓一個網站跟蹤用戶訪問的其化輛他(tā)網站,因為(wèi)每個網站的數據員微庫名稱通(tōng)常是唯一的。正确的行為(wèi)應該是,網站隻能訪問自己火到的 IndexedDB 數據庫。
IT之家(jiā)了解到,根據 FingerprintJS 的描述,You電放Tube 創建的數據庫包含經過認證的谷歌用戶 ID,這草老個标識符可以與谷歌 API 一起獲取頭像等用戶的個人信息。
據介紹,這一 Bug 會(huì)影響使用蘋果開(就民kāi)源浏覽器(qì)引擎 WebKit 的新版本浏友司覽器(qì),包括 Mac 版的 Safa用很ri 15 以及 iOS 1女舊5 和 iPadOS 15 所有版本的 Safari 浏覽器(哥議qì)。該漏洞也會(huì)影響第三方浏覽謝睡器(qì),如(rú) iOS 15 和 iPadOS 15 上的 Ch外答rome,因為(wèi)蘋果要求所有浏覽器(qì)在 iP長民hone和 iPad 上使用 WebKit。Fingerprint得醫JS 演示顯示,Mac 版的 Safari 14 等舊版浏覽器(qì商懂)不(bù)受影響。
[豐網丹丹]
關注官方微信
