Apple cập nhật sửa lỗi bảo mật nghiêm trọng của Safari
Apple cho biết bản cập nhập của iOS, iPadOS và macOS sẽ được phát hành tuần tới để sửa lỗi khiến lịch sử duyệt web của người dùng bị lộ.
Nhóm bảo mật FingerprintJS cho biết đã phát hiện lỗi nghiêm trọng trên trình duyệt Safari và gửi thông báo tới Apple từ ngày 28/11/2021. Tuy nhiên, sau gần hai tháng, lỗ hổng vẫn chưa có dấu hiệu được khắc phục. Ngày 16/1, nhóm này quyết định công khai lỗi trên và tạo một trang thử nghiệm để người dùng có thể hình dung vấn đề.
Trình duyệt Safari mặc định trên iPhone đang gặp lỗi nghiêm trọng. Ảnh: PhoneArena
Chỉ vài ngày sau khi lỗ hổng Safari được FingerprintJS công khai, Apple đã cấp tốc đưa ra bản vá mới của iOS, iPadOS và macOS, tải lên WebKit trên GitHub cho các nhà phát triển thử nghiệm trước. Bản cập nhật chính thức cho iPhone, iPad và máy tính Mac sẽ được phát hành vào tuần tới.
Lỗi xuất hiện trong quá trình triển khai thành phần IndexedDB của Safari 15, cho phép một website có thể lấy được thông tin về tên miền của các trang web mà người dùng truy cập. Nếu khai thác lỗ hổng, kẻ xấu có thể biết người dùng đang vào những trang nào theo thời gian thực.
Theo các chuyên gia, đây là lỗi nghiêm trọng và vi phạm quyền riêng tư người dùng một cách rõ ràng. Nó còn trở nên nguy hiểm đối với một số dịch vụ mà địa chỉ web có chứa ID của người dùng. Ví dụ, với dịch vụ của Google, trình duyệt Safari lưu trữ một phiên bản IndexedDB ứng với mỗi tài khoản mà người dùng đăng nhập, trong đó có kèm theo ID tài khoản.
Safari 15 là phiên bản mới nhất của trình duyệt Safari, có mặt trên các thiết bị Apple như iPhone, iPad, máy Mac. Trước khi bản vá có mặt, để tự bảo vệ mình, biện pháp tạm thời là kích hoạt chế độ chặn JavaScript. Tuy nhiên giải pháp này khiến việc duyệt web trở nên khó khăn hơn. Một cách khác là dùng trình duyệt khác thay thế cho Safari.
Theo Congluan.vn
https://congluan.vn/apple-cap-nhat-sua-loi-bao-mat-nghiem-trong-cua-safari-post178495.html
- OpenAI nhắm đến hai địa hạt thống trị của Google
- OpenAI chi bao nhiêu để mua nội dung đào tạo ChatGPT?
- OpenAI nhắm đến hai địa hạt thống trị của Google
- Doanh nghiệp Việt loay hoay tăng thu giảm chi bằng chuyển đổi số
- Ban hành Kế hoạch hành động quốc gia về phát triển kinh tế số
- Điện thoại Trung Quốc thách thức Samsung, Apple tại châu Âu
- Khóa tài khoản, xóa nội dung vi phạm trên Internet là kịp thời, cần thiết
- Doanh nghiệp Việt học hỏi được gì từ hành trình hồi sinh của gã khổng lồ Kodak?
- Ai cũng có thể là nạn nhân của deepfake khiêu dâm trong kỷ nguyên AI