Обладатели компьютеров производства Apple рискуют стать жертвами достаточно серьёзной уязвимости в предустановленном браузере. Engadget пишет о существовании эксплоита, дающего злоумышленникам доступ к истории посещённых в браузере Safari страниц и кое-какую информацию об учётной записи Google. Речь идёт о Safari 15 на всех поддерживаемых платформах, а также о сторонних браузерах в системах iOS 15 и iPadOS 15.
Фреймворк IndexedDB, применяемый во многих браузерах для хранения данных, нарушает политику «одного источника». Она не разрешает документам и сценариям из одного места (домена или протокола) взаимодействовать с контентом из другого. Это позволяет веб-сайтам с соответствующим кодом получать информацию аккаунта Google от выполнивших вход в учётную запись на сайте пользователей, а также историю посещённых страниц из открытых вкладок и окон.
Уязвимость открывает лишь названия баз данных, а не их содержимое. Злоумышленнику может хватит и этого, чтобы узнать имя пользователя в аккаунте Google, найти изображение профиля и т.д. Историю браузера можно задействовать для составления профиля посещаемых вами сайтов. Приватный просмотр не спасает от этого эксплоита.
Нашедшие эксплоит сообщили Apple о проблеме 28 ноября и она до сих пор не устранена. Пока можно поставить на Mac другой браузер или полностью заблокировать JavaScript.