Eine schwerwiegende Datenschutzlücke im Safari-Unterbau WebKit wurde von Apple-Entwicklern geschlossen. Webseiten ist es möglich, unter Ausnutzung der Lücke Einblick in die Surf-Aktivitäten von Nutzern zu erhalten und letztere gegebenenfalls auch eindeutig zu identifizieren. Zur Schließung der Lücke sollen die Entwickler laut Apples WebKit-Changelog mehrere Code-Anpassungen umgesetzt haben.

Eines der fundamentalen Sicherheitskonzepte des Web - die "Same-Origin-Policy" - wird seit Version 15 des Browsers aus bislang unbekannten Gründen missachtet. Webseiten sind hierdurch in der Lage, auch IndexedDB-Datenbanken anderer in der aktuellen Browser-Session besuchter Websites auszulesen. Eventuelle Account-IDs, die sich in den Datenbanken befinden, könnten Angreifern beispielsweise helfen, Nutzer zu identifizieren.

Die Lücke wurde bereits im November 2021 an Apple gemeldet. Seit Veröffentlichung des Browsers mit iOS 15, iPadOS 15 sowie für macOS ist die Lücke offen. Die nun fertiggestellten WebKit-Patches müssen jetzt in die Betriebssysteme, beziehungsweise eine neue Safari-Version integriert werden. Wann die Patches an Endkunden ausgeliefert werden, ist noch unklar.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE