資訊安全業(yè)者指出，新版Safari出現(xiàn)了嚴(yán)重漏洞，可能讓用戶的瀏覽記錄和個(gè)資外泄。

上周五（1月14日），瀏覽器指紋識別與欺詐檢測服務(wù)商Fingerprintjs在一篇博文中稱（鏈接），新版Safari（Safari 15）出現(xiàn)一項(xiàng)嚴(yán)重漏洞。該漏洞源自Safari使用的瀏覽器排版引擎“WebKit”。

文章中稱，在新版的WebKit中，IndexedDB API出現(xiàn)了錯(cuò)誤，它沒有遵守網(wǎng)站安全常用的“同源政策”（Same Origin Policy）。

“同源政策”意味著只有生成數(shù)據(jù)的網(wǎng)站才能訪問它。例如，如果用戶在一個(gè)分頁（tab）中，打開電子郵件賬戶，然后在另一個(gè)分頁中打開惡意網(wǎng)頁，“同源策略”會(huì)阻止惡意網(wǎng)頁查看、讀取您的電子郵件。

Fingerprintjs稱，IndexedDB是一個(gè)用于客戶端存儲的瀏覽器API，旨在保存大量的數(shù)據(jù)。

這項(xiàng)錯(cuò)誤允許任何使用IndexedDB的網(wǎng)站，登入其他使用IndexedDB網(wǎng)站的用戶端資料庫。正常狀況下，這些資料應(yīng)是各自獨(dú)立的。

舉例來說，透過該漏洞，當(dāng)使用者從Google頁面轉(zhuǎn)移到其它網(wǎng)頁瀏覽時(shí)，網(wǎng)頁就可存取Google的ID資訊，進(jìn)而搜集更多資料，確定用戶的身份。

透過這個(gè)安全漏洞，即使開啟Safari 15的“私密瀏覽”（private mode）模式，也無法完全防止資料外泄，只能防止兩個(gè)分頁相互讀取。如果在同一分頁上，接連瀏覽兩個(gè)網(wǎng)站，資料也可能外泄。

iPhone、iPad上所有瀏覽器都遭殃

這項(xiàng)漏洞已影響到macOS上的Safari 15，以及iOS、iPadOS 15上的所有瀏覽器。因?yàn)楦鶕?jù)Apple的App Store指南要求，在iPhone或iPad上的所有瀏覽器都需使用“WebKit”引擎。

目前，需要等待Apple軟件更新，才能解決該錯(cuò)誤。

Fingerprintjs指出，在此之前，用戶保護(hù)自己的方式之一，是預(yù)設(shè)阻止所有JavaScript，僅在信任的網(wǎng)站允許，但這會(huì)讓瀏覽網(wǎng)頁時(shí)相當(dāng)不便。

對于macOS用戶來說，另一種方式是改用別的瀏覽器。

不過，對于iPhone和iPad來說，這個(gè)方法并沒有用，只能使用Safari 14以前的版本。