Il y a trois jours, une vulnérabilité dans Safari est apparue qui permettait à n'importe quel site Web de suivre l'activité Internet d'un navigateur et potentiellement de déterminer l'identité d'un utilisateur. Heureusement, une des choses qui caractérise Apple est qu'il est assez efficace pour corriger ce type de vulnérabilité. Nous avons déjà la solution, mais il semble que Il ne sera pas disponible pour tout le monde tant que de nouvelles mises à jour ne seront pas publiées.
IndexedDB est une API de navigateur utilisée par les principaux navigateurs Web comme stockage côté client, contenant des données telles que des bases de données. En règle générale, l'utilisation d'une "politique d'origine identique" limitera les données auxquelles chaque site Web peut accéder et fait généralement en sorte qu'un site ne puisse accéder qu'aux données qu'il a générées, pas à celles d'autres sites.
Dans le cas de Safari 15 pour macOS, IndexedDB s'est avéré enfreindre la politique de même origine. Les chercheurs affirment que chaque fois qu'un site Web interagit avec leur base de données, une nouvelle base de données vide est créée avec le même nom "dans tous les autres cadres, onglets et fenêtres actifs de la même session de navigateur".
Selon un Commit WebKit sur GitHub, et aussi tel que détecté par le média spécialisé MacRumors. Cependant, le correctif ne sera pas disponible pour les utilisateurs tant qu'Apple n'aura pas publié de mises à jour pour Safari sur macOS Monterey, iOS 15 et iPadOS 15.
Des solutions de contournement telles que le blocage de JavaScript ont été évoquées. Mais la seule solution qui fonctionnera vraiment est celle qu'Apple a déjà préparée. Nous espérons qu'il sortira prochainement sous la forme de mises à jour pour les différents systèmes d'exploitation. Patience et soyez vigilant. Nous vous informerons ici lorsque tout sera prêt.
