Apple thừa nhận lỗ hổng rò rỉ dữ liệu trong trình duyệt Safari, sẽ sớm khắc phục

Thế Duyệt11:58 20/01/2022

Nhưng chưa rõ là khi nào!

Mới đây, một lỗ hổng mới bên trong trình duyệt Safari 15 đã được tìm thấy. Lỗ hổng này cho phép các trang web có thể truy cập được hoạt động duyệt web của người dùng, thậm chí biết được cả chi tiết về tài khoản Google mà người dùng đã đăng nhập. Được biết, nguyên nhân tới từ hàm API IndexedDB mà Safari 15 sử dụng không tuân thủ chính sách “same-origin”.

Do là một lỗ hổng bên trong phần mềm hệ thống, một bản vá bảo mật macOS, iOS và iPadOS sẽ phải được phát hành để khắc phục lỗ hổng này chứ người dùng không thể đơn thuần cập nhật ứng dụng trên App Store.

Video đang HOT

Sau khi được công bố bởi FingerprintJS, Apple đã xác nhận lỗ hổng này và cho biết một phiên bản cập nhật thử nghiệm đang được triển khai, tuy nhiên chúng ta chưa thể chắc chắn khi nào người dùng nhận được bản cập nhật chính thức.

Để tạm thời khắc phục lỗ hổng trên, FingerprintJS cho biết người dùng nên sử dụng một trình duyệt khác như Chrome. Việc vô hiệu hoá JavaScript cũng có thể hạn chế lượng dữ liệu bị rò rỉ, nhưng không khắc phục hoàn toàn lỗ hổng này.

Trong thời gian tới, có thể là một tới một vài tuần, một bản cập nhật macOS, iOS cũng như iPadOS sẽ được phát hành và người dùng được khuyến cáo nên cập nhật lên các phiên bản phần mềm mới để đảm bảo an toàn dữ liệu.

Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân của người dùng.

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân liên quan tới tài khoản Google của người dùng. Được biết, lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu trên trình duyệt.

Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách 'same-origin', chỉ các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách same-origin giúp ngăn chặn trang web độc hại có thể xem và can thiệp vào tab email của bạn.

Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15 thực chất không tuân thủ theo chính sách same-origin này. Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.

Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn. FingerprintJS lưu ý rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.

FingerprintJS đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhone và iPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang web bạn đã mở và cho thấy có thể lấy thông tin tài khoản Google.

Hiện tại người dùng không có cách nào để khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS, nhưng với iOS thì không có cách nào khác.

FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28 tháng 11, nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.

Nối gót Apple, Samsung đặt thanh địa chỉ xuống dưới trình duyệt web trên smartphone Nhưng có vẻ như vị trí đặt thanh địa chỉ này không được người dùng ủng hộ. Apple năm nay đã thực hiện một số thay đổi đáng kể đối với Safari trên iOS 15, trong đó, việc đưa thanh địa chỉ xuống cuối màn hình là một trong những điều gây chú ý nhất. Trong khi sự thay đổi này có thể...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Ông chú 40 trêu ghẹo cô gái 17 tuổi, bị phản ứng liền đập vỡ kính quán ăn00:57

Thành viên đẹp nhất BLACKPINK đạo nhạc Quang Hùng MasterD?04:25

Kinh hoàng khoảnh khắc ô tô lao vào nhà dân khi 2 ông cháu đang ngồi xem TV: Đoạn clip khiến nhiều người sợ hãi00:26

Công an xác minh clip người đàn ông khuyết tật bị hai thanh niên đi xe máy không mũ bảo hiểm tát vào đầu01:20

Quốc Anh: "Tôi thích Tiểu Vy, còn chuyện tình yêu thì để tùy duyên"02:45

MLEE bị chỉ trích sau loạt bài đăng về ồn ào chia tay Quốc Anh, netizen thở dài: Tự mình hại mình!00:11

Rapper Việt có ca khúc gây sốt toàn cầu, hút 1 tỷ view trên TikTok04:51

Thông tin mới về phiên xử vụ Đàm Vĩnh Hưng kiện chồng ca sĩ Bích Tuyền00:57

Khởi tố kẻ 'bắt cá hai tay', đánh gục bạn gái ở quán cà phê khi bị phát hiện21:01

Bà xã Vũ Cát Tường gây xao xuyến với visual đẹp nức lòng, cùng chú rể trao điệu nhảy tình tứ trong MV đám cưới04:21

Pha sang đường vỏn vẹn 16 giây của chiếc xe máy khiến hàng loạt phương tiện chao đảo00:16

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn