iOS / iPadOSおよびmacOS用のSafari15の最新バージョンには、重大なバグがある可能性があります。

 iOS / iPadOSおよびmacOS用のSafari15の最新バージョンには、Googleアカウント情報および最近の閲覧履歴が漏洩する可能性のあるバグがあると報告されています。

Webブラウザ用の指紋認証サービスであるFingerprintJSは、ブログ投稿で、Safari 15にはIndexedDBの実装にバグがあり、一部のWebサイトが自分自身だけでなく任意のドメインのデータベース名を表示できるようにすることを指摘しました。そのデータベース名は、ルックアップテーブルから識別情報を抽出するのに役立つと言われており、試してみることができる概念実証のデモも利用できます。

たとえば、GoogleのサービスはログインアカウントごとにIndexedDBのインスタンスを保存し、データベース名はGoogleユーザーIDに対応します。ここで報告されている脆弱性を利用して、悪意のあるWebサイトがユーザーのGoogle IDを抽出し、そのIDから他の個人情報を抽出する可能性があります。上記の概念実証デモでは、実際の訪問者（匿名である必要があります）のGoogleプロフィール写真も表示されます。

バグは、すべてのIndexedDBデータベースの名前がどのサイトでも参照できるため、各データベースの実際のコンテンツへのアクセスが制限されることです。

つまり、データベース名を知っているだけでは、コンテンツを表示または変更することはできません。 GoogleユーザーIDはデータベース名から識別できるため、個人を識別でき、データベース名から最近アクセスしたWebサイトの履歴を確認できます。

ちなみに、他のブラウザ（Chromeなど）では、正しい動作は、Webサイトがドメイン名と同じドメイン名で作成されたデータベースのみを表示できることです。

この脆弱性は、iPhone、iPad、およびMac上のSafariの現在のすべてのバージョンで悪用される可能性があります。 FingerprintJSによると、バグは11月28日にAppleに報告されましたが、まだ解決されていません。今後のAppleの対応を待っています。

>>>>>>>>>>>Apple バッテリー