月18日消息:據(jù)MacRumors報(bào)道，瀏覽器指紋識(shí)別服務(wù)FingerprintJS周五發(fā)布的一篇博文稱(chēng)，WebKit對(duì)一個(gè)名為IndexedDB的JavaScript API的實(shí)現(xiàn)存在一個(gè)錯(cuò)誤，可以顯示用戶(hù)最近的瀏覽歷史甚至是身份。

簡(jiǎn)而言之，該漏洞允許任何使用IndexedDB的網(wǎng)站訪(fǎng)問(wèn)其他網(wǎng)站在用戶(hù)瀏覽會(huì)話(huà)期間生成的IndexedDB數(shù)據(jù)庫(kù)的名稱(chēng)。這個(gè)錯(cuò)誤可能允許一個(gè)網(wǎng)站跟蹤用戶(hù)在不同標(biāo)簽或窗口中訪(fǎng)問(wèn)的其他網(wǎng)站，因?yàn)槊總€(gè)網(wǎng)站的數(shù)據(jù)庫(kù)名稱(chēng)通常是唯一的。正確的行為應(yīng)該是，網(wǎng)站只能訪(fǎng)問(wèn)他們自己的 IndexedDB 數(shù)據(jù)庫(kù)。

在某些情況下，網(wǎng)站在 IndexedDB 數(shù)據(jù)庫(kù)名稱(chēng)中使用獨(dú)特的用戶(hù)特定標(biāo)識(shí)符。例如，YouTube創(chuàng)建的數(shù)據(jù)庫(kù)在名稱(chēng)中包括用戶(hù)經(jīng)過(guò)認(rèn)證的谷歌用戶(hù)ID，根據(jù)FingerprintJS，這個(gè)標(biāo)識(shí)符可用于谷歌API，以獲取有關(guān)用戶(hù)的個(gè)人信息，如個(gè)人資料圖片。這些個(gè)人信息可以幫助惡意行為者確定用戶(hù)的身份。

據(jù)介紹，該漏洞影響了使用蘋(píng)果開(kāi)源瀏覽器引擎WebKit的較新版本的瀏覽器，包括Mac版Safari15和所有版本的iOS15和iPadOS15的Safari。這個(gè)錯(cuò)誤還影響到iOS15和iPadOS15上的Chrome等第三方瀏覽器，因?yàn)樘O(píng)果要求所有瀏覽器在iPhone和iPad上使用WebKit。FingerprintJS有一個(gè)關(guān)于該bug的視頻演示表明，Mac版Safari14等舊版瀏覽器不受影響。