Apple thừa nhận lỗ hổng rò rỉ dữ liệu trong trình duyệt Safari, sẽ sớm khắc phục

Thế Duyệt11:58 20/01/2022

Nhưng chưa rõ là khi nào!

Mới đây, một lỗ hổng mới bên trong trình duyệt Safari 15 đã được tìm thấy. Lỗ hổng này cho phép các trang web có thể truy cập được hoạt động duyệt web của người dùng, thậm chí biết được cả chi tiết về tài khoản Google mà người dùng đã đăng nhập. Được biết, nguyên nhân tới từ hàm API IndexedDB mà Safari 15 sử dụng không tuân thủ chính sách “same-origin”.

Do là một lỗ hổng bên trong phần mềm hệ thống, một bản vá bảo mật macOS, iOS và iPadOS sẽ phải được phát hành để khắc phục lỗ hổng này chứ người dùng không thể đơn thuần cập nhật ứng dụng trên App Store.

Video đang HOT

Sau khi được công bố bởi FingerprintJS, Apple đã xác nhận lỗ hổng này và cho biết một phiên bản cập nhật thử nghiệm đang được triển khai, tuy nhiên chúng ta chưa thể chắc chắn khi nào người dùng nhận được bản cập nhật chính thức.

Để tạm thời khắc phục lỗ hổng trên, FingerprintJS cho biết người dùng nên sử dụng một trình duyệt khác như Chrome. Việc vô hiệu hoá JavaScript cũng có thể hạn chế lượng dữ liệu bị rò rỉ, nhưng không khắc phục hoàn toàn lỗ hổng này.

Trong thời gian tới, có thể là một tới một vài tuần, một bản cập nhật macOS, iOS cũng như iPadOS sẽ được phát hành và người dùng được khuyến cáo nên cập nhật lên các phiên bản phần mềm mới để đảm bảo an toàn dữ liệu.

Trình duyệt Safari gặp lỗi nghiêm trọng làm lộ hoạt động duyệt web và danh tính người dùng

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân của người dùng.

Theo phát hiện của FingerprintJS, trình duyệt Safari 15 có một lỗi nghiêm trọng, có thể làm lộ các hoạt động duyệt web và một số thông tin cá nhân liên quan tới tài khoản Google của người dùng. Được biết, lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai IndexedDB, một API giúp lưu trữ dữ liệu trên trình duyệt.

Theo FingerprintJS, API IndexedDB phải đảm bảo tuân thủ theo chính sách 'same-origin', chỉ các trang web tạo dữ liệu mới có thể truy cập và ngăn chặn các nguồn khác thu thập dữ liệu. Ví dụ nếu bạn mở tài khoản email của mình trong một tab và sau đó mở một trang web độc hại trong một tab khác, chính sách same-origin giúp ngăn chặn trang web độc hại có thể xem và can thiệp vào tab email của bạn.

Tuy nhiên, FingerprintJS phát hiện ra rằng API IndexedDB của Apple trong Safari 15 thực chất không tuân thủ theo chính sách same-origin này. Khi một trang web tạo ra cơ sở dữ liệu mới trong trình duyệt Safari, một cơ sở dữ liệu khác có cùng tên cũng được tạo ra trong tất cả các tab cùng phiên trình duyệt.

Điều này có nghĩa là các trang web khác có thể thu thập cơ sở dữ liệu của nhau, và chúng có thể chứa những thông tin cá nhân cũng như toàn bộ hoạt động duyệt web của bạn. FingerprintJS lưu ý rằng các trang web sử dụng tài khoản Google như YouTube, Gmail hay Google Calendar đều tạo ra cơ sở dữ liệu với thông tin về tài khoản Google của người dùng.

FingerprintJS đã tiến hành thử nghiệm trên Safari 15 của máy tính Mac, iPhone và iPad. Bản demo này sử dụng lỗ hổng nói trên, để xác định các trang web bạn đã mở và cho thấy có thể lấy thông tin tài khoản Google.

Hiện tại người dùng không có cách nào để khắc phục lỗ hổng bảo mật này, ngay cả việc sử dụng chế độ Private Browsing trong Safari. Bạn có thể sử dụng một trình duyệt khác trên macOS, nhưng với iOS thì không có cách nào khác.

FingerprintJS đã thông báo lỗ hổng bảo mật này cho Apple từ ngày 28 tháng 11, nhưng đến nay vẫn chưa có bản vá lỗi nào cho trình duyệt Safari.

Nối gót Apple, Samsung đặt thanh địa chỉ xuống dưới trình duyệt web trên smartphone Nhưng có vẻ như vị trí đặt thanh địa chỉ này không được người dùng ủng hộ. Apple năm nay đã thực hiện một số thay đổi đáng kể đối với Safari trên iOS 15, trong đó, việc đưa thanh địa chỉ xuống cuối màn hình là một trong những điều gây chú ý nhất. Trong khi sự thay đổi này có thể...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Nữ ca sĩ từng phải bán nhà bán xe làm MV: Từ xếp hạng 36 nay "chễm chệ" ngôi vương top 1 trending toàn cầu04:19

Tạm giữ 6 nghi can liên quan vụ nam sinh bị nhóm người đánh đến nứt sọ01:11

Bùng nổ MXH: Thủ tướng Singapore đăng video cùng Thủ tướng Phạm Minh Chính lên TikTok, chèn nhạc Bắc Bling remix00:18

Phút nghẹt thở giải cứu bé gái 9 tuổi bị khống chế bằng dao trên mái nhà00:24

Cô dâu rơi tõm xuống nước khi đi qua cầu khỉ, chú rể nhất quyết không nhảy xuống cứu: 14 triệu người hóng cái kết01:30

Dàn sao Việt hoang mang vì động đất: Bùi Công Nam kinh hoàng tháo chạy, cảnh tượng rung lắc bên trong nhà 1 sao nữ gây sợ hãi00:24

Sự hết thời của một ngôi sao: Từng được khen hát hay hơn Sơn Tùng giờ sự nghiệp về 0, không còn gì ngoài scandal!11:56

Clip thanh niên sinh năm 2001 "thông chốt", tông gãy xương sườn Đại úy Công an ở Thái Bình00:30

Người phụ nữ ở Quy Nhơn bị vợ chồng hàng xóm vác chổi lao sang tận nhà hành hung: Nghe lý do càng gây bức xúc04:01

Hàng xóm quay lén cảnh người phụ nữ Vĩnh Phúc hì hụi trước cổng nhà, thốt lên: Tôi chẳng dám làm gì bậy bạ!01:04

3 nghệ sĩ nổi tiếng hot nhất Bắc Ninh là ai?04:19

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn