[Update] Safari: Bug im Browser legt private Daten offen

Dem Bericht zufolge beschränkt sich das Problem nicht nur auf die macOS-Version von Safari, sondern auch auf den iOS- bzw. iPadOS-Browser. Durch die Leaks könnten Unberechtigte Surfhistorien der Nutzer erstellen, um die Daten für Werbezwecke zu nutzen. Kriminelle Angreifer könnten über den Browserverlauf zudem intime Details der jeweiligen Person herausfinden. 

In der IndexedDB von YouTube befindet sich außerdem die authentifizierte Google-ID, über die sich mithilfe der Google-API weitere Informationen wie das Profilbild einsehen lassen. 

Der Fehler befindet sich offensichtlich ausschließlich in Safari 15 für den Mac sowie in allen iOS/iPadOS 15-WebKit-Browsern. In dem Posting wird außerdem darauf hingewiesen, dass die Sicherheitslücke Apple bereits seit November bekannt ist. Bisher hat sich Cupertino zu der Sicherheitslücke allerdings nicht geäußert. Ob das Unternehmen bereits an einem Bugfix arbeitet ist nicht bekannt. 

Ob Nutzer etwas unternehmen können, um sich vor dem Leck zu schützen, beantwortet der Verfasser Martin Bajanik folgendermaßen:

"Leider gibt es nicht viel, was Safari-, iPadOS- und iOS-Nutzer tun können, um sich zu schützen, ohne drastische Maßnahmen zu ergreifen. Eine Möglichkeit wäre, JavaScript standardmäßig zu blockieren und es nur auf vertrauenswürdigen Websites zuzulassen."

Endgültige Abhilfe wird erst ein Update mit sich bringen. Bis dahin hofft das Entwicklerteam, dass sie mit ihrem Blogeintrag das Bewusstsein für das bestehende Sicherheitsproblem schärfen können. 

An der kürzlich bekanntgewordenen Schwachstelle, bei der im Browser eine Datenspeicherung durch die Implementierung von IndexedDB erfolgt, soll bereits mit Hochdruck gearbeitet werden. Aus einem WebKit-Commit auf GitHub geht hervor, dass Apple ein Bugfix für das Sicherheitsproblem vorbereite. 

Das Problem soll mit einem kommenden Update von iOS/iPadOS 15 und macOS Monterey aus der Welt geschafft werden.