Apple thừa nhận và sẽ sớm khắc phục lỗ hổng rò rỉ dữ liệu của trình duyệt Safari 15

Mới đây, một lỗ hổng mới bên trong trình duyệt Safari 15 đã được tìm thấy. Lỗ hổng này cho phép các trang web có thể truy cập được hoạt động duyệt web của người dùng, thậm chí biết được cả chi tiết về tài khoản Google mà người dùng đã đăng nhập. Được biết, nguyên nhân tới từ hàm API IndexedDB mà Safari 15 sử dụng không tuân thủ chính sách "same-origin".

This is a huge bug. On OSX, Safari users can (temporarily) switch to another browser to avoid their data leaking across origins. iOS users have no such choice, because Apple imposes a ban on other browser engines. https://t.co/aXdhDVIjTT — Jake Archibald (@jaffathecake) January 16, 2022

Do là một lỗ hổng bên trong phần mềm hệ thống, một bản vá bảo mật macOS, iOS và iPadOS sẽ phải được phát hành để khắc phục lỗ hổng này chứ người dùng không thể đơn thuần cập nhật ứng dụng trên App Store.

Giao diện Safari 15 trên MacOS

Sau khi được công bố bởi FingerprintJS, Apple đã xác nhận lỗ hổng này và cho biết một phiên bản cập nhật thử nghiệm đang được triển khai, tuy nhiên chúng ta chưa thể chắc chắn khi nào người dùng nhận được bản cập nhật chính thức.

Để tạm thời khắc phục lỗ hổng trên, FingerprintJS cho biết người dùng nên sử dụng một trình duyệt khác như Chrome. Việc vô hiệu hoá JavaScript cũng có thể hạn chế lượng dữ liệu bị rò rỉ, nhưng không khắc phục hoàn toàn lỗ hổng này.

Trong thời gian tới, có thể là một tới một vài tuần, một bản cập nhật macOS, iOS cũng như iPadOS sẽ được phát hành và người dùng được khuyến cáo nên cập nhật lên các phiên bản phần mềm mới để đảm bảo an toàn dữ liệu.