Appleの公式ブラウザSafariの最新版に不具合が存在し、ブラウザの閲覧履歴やGoogleアカウントの個人情報の一部など、ユーザーの個人情報が漏洩してしまう可能性があると伝えられています。
不具合の原因は、IndexedDBと呼ばれるJavaScript APIのWebKitの実装に存在し、、GitHubのWebKitリポジトリではすでに修正がコミットされていますが、修正が一般公開されるタイミングは、macOS Monterey、iOS 15、iPadOS 15のアップデート版がリリースされるまで待たないといけないことがわかりました(MacRumors)。Appleは修正プログラムが公開される時期に関して、コメントを拒否しているそうです。
今回見つかった不具合は、クライアントサイドのデータストレージにIndexedDBを使用する任意のウェブサイトが、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベースの名前にアクセスすることができるというものです。
データベース名は各ウェブサイトに固有のものであることが多く、またデータベース名にユーザー固有の識別子が含まれていることがあるため、悪意のあるウェブサイトが、ユーザーが別のタブやウィンドウで閲覧した他のウェブサイトを追跡することができるようになる可能性があります。
FingerprintJSは、このバグのライブデモを公開しており、macOS版のSafari 15、iOS 15およびiPadOS 15の全バージョンのSafariなどAppleのオープンソースブラウザエンジンWebKitを使用するブラウザの最新バージョンに影響があると指摘しています。なお、Safari 14、iOS 14およびiPadOS 14上のSafariには影響しないとのことです。詳細はこちらで確認可能です。
