报告称苹果Safari 15浏览器存漏洞，或许导致个人数据泄露

本文转自【环球时报上新媒体】；

据如今俄罗斯电视台（RT）报道，据主营欺诈侦测行政部门报告，除此以外披露的上新产品Safari 15客户端的一个安全漏洞，可以被恶意com用来提取软件预览值得注意，并获取其GoogleID，以搜罗更为多同样目录。

如今俄罗斯电视台报道配图

这家行政部门的全名是是“客户端物证库欺诈侦测服务FingerprintJS”，其辨别单单的原因共存于IndexedDB的应用软件Smalltalk端口(API)中则会，该端口用于在客户端中则会存储大量目录。

有时候情况下，这些目录搜罗端口遵循同源策略：只并不需要com访问自身归因于的目录，而不并不需要访问其他com归因于的目录。例如，如果软件在一个客户端标签中则会挡住Gmail帐号，而在第二个标签中则会挡住另一个其com时，上新其com的代码将无法访问任何与Gmail相关的目录。

然而，对于上新产品Safari 15客户端来说，情况并非如此。由于上新产品应用了IndexedDB端口（API），每次com与客户端目录库交互时，都则会为所有其他大型活动标签创始一个同名的上新目录库。这假定每个这样的市区内，都可以访问同时挡住的其他所有市区内的目录库。

当软件与需同样目录的其com（如视频comYouTube或Google账户）交互时，任何与GoogleID链接的主页都则会创始带有Google软件ID的目录库，这些目录库则会与软件挡住的所有其他com共享，因此可能则会被据称借助，还包括一旦他们知道软件的GoogleID，就则会获得更为多的同样目录。

上新产品电脑MacOS操作系统的软件可能只需应用于Safari都有的客户端就可以横越这个安全漏洞，但iPhone和iPad软件完全不能接受，因为上新产品公司禁止所有iOS设备应用于第三方客户端引擎，这假定所有客户端都则会受到影响，Safari 15上的私密预览模式也则会受到影响。

FingerprintJS甚至还制作了一个特殊的科学实验程序，示范了Safari是如何搜罗com目录、预览历史和同样目录的，从而结果显示单单软件的互联网头像。该行政部门还表示，之前在上次11月28日报告了这个原因，但到目前为止还没发布整修该原因的更为上新，上新产品也没回应媒体的置评请求。