據(jù)MacRumors報(bào)道,根據(jù)瀏覽器指紋識別服務(wù)提供商 FingerprintJS 周五分享的一篇博客文章,WebKit 的一個(gè)名為 IndexedDB 的 JavaScript API 中的一個(gè) Bug 可以泄露用戶最近的瀏覽歷史甚至身份。
該 Bug 允許任何使用 IndexedDB 的網(wǎng)站在用戶瀏覽會話期間訪問其他網(wǎng)站生成的 IndexedDB 數(shù)據(jù)庫的名稱。這個(gè)漏洞可以讓一個(gè)網(wǎng)站跟蹤用戶訪問的其他網(wǎng)站,因?yàn)槊總€(gè)網(wǎng)站的數(shù)據(jù)庫名稱通常是唯一的。正確的行為應(yīng)該是,網(wǎng)站只能訪問自己的 IndexedDB 數(shù)據(jù)庫。
根據(jù) FingerprintJS 的描述,YouTube 創(chuàng)建的數(shù)據(jù)庫包含經(jīng)過認(rèn)證的谷歌用戶 ID,這個(gè)標(biāo)識符可以與谷歌 API 一起獲取頭像等用戶的個(gè)人信息。
據(jù)介紹,這一 Bug 會影響使用蘋果開源瀏覽器引擎 WebKit 的新版本瀏覽器,包括 Mac 版的 Safari 15以及 iOS 15和 iPadOS 15所有版本的 Safari 瀏覽器。該漏洞也會影響第三方瀏覽器,如 iOS 15和 iPadOS 15上的 Chrome,因?yàn)樘O果要求所有瀏覽器在 iPhone 和 iPad 上使用 WebKit。FingerprintJS 演示顯示,Mac 版的 Safari 14等舊版瀏覽器不受影響。
責(zé)任編輯:肖舒
特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請及時(shí)與ts@hxnews.com聯(lián)系或者請點(diǎn)擊右側(cè)投訴按鈕,我們會及時(shí)反饋并處理完畢。
- 蘋果AR/VR頭顯售價(jià)超2000美元:具備M1 Pro芯片性能2022-01-17
- 蘋果芯片團(tuán)隊(duì)又遭挖人 重量級芯片設(shè)計(jì)師邁克·費(fèi)立波跳槽微軟2022-01-14
- 蘋果澄清:iOS 15.2 不會關(guān)閉 iCloud 隱私中繼功能2022-01-13
已有0人發(fā)表了評論