Hace tres días que salió a la luz una vulnerabilidad en Safari que permitía que cualquier sitio web rastreara la actividad de Internet de un navegador y, potencialmente, determinara la identidad de un usuario. Afortunadamente una de las cosas que caracterizan a Apple es la de ser bastante efectiva en cuanto a corregir este tipo de vulnerabilidades. Ya tenemos la solución, sin embargo parece que no estará al alcance de todos hasta que se lance las nuevas actualizaciones.
IndexedDB es una API de navegador utilizada por los principales navegadores web como almacenamiento del lado del cliente, que contiene datos como bases de datos. Por lo general, el uso de una «política del mismo origen» limitará a qué datos puede acceder cada sitio web y, por lo general, hace que un sitio solo pueda acceder a los datos que generó, no a los de otros sitios.
En el caso de Safari 15 para macOS, se descubrió que IndexedDB está violando la política del mismo origen. Los investigadores afirman que cada vez que un sitio web interactúa con su base de datos, se crea una nueva base de datos vacía con el mismo nombre «en todos los demás marcos, pestañas y ventanas activos dentro de la misma sesión del navegador».
De acuerdo con una confirmación de WebKit en GitHub, y también según lo detectado por el medio especializado MacRumors. Sin embargo, la solución no estará disponible para los usuarios hasta que Apple lance actualizaciones para Safari en macOS Monterey, iOS 15 y iPadOS 15.
Se ha estado hablando de soluciones alternativas como bloquear el JavaScript. Pero la única solución que funcionará de verdad es la que ya tiene preparada Apple. Esperamos que se lance en breve en forma de actualizaciones para los diferentes sistemas operativos. Paciencia y estar atentos. Nosotros os avisaremos por aquí cuando todo esté listo.
