Problem i Safari kan medföra informationsläckage

Safari Webbläsare

Ett problem har upptäckts i webbläsaren Safari och kan innebära att viss information kan läcka mellan öppna flikar i browsersessionen och inloggade e-postkonton.[1] Problemet påverkar Safari 15 och beror på hur Safari för Mac och iOS implementerar Indexed DB, ett api som sparar data i webbläsaren. Det gör att känslig information kopplat till e-postkonton i Google (bland annat sökhistorik och tidigare besökta webbsidor) kan göras synlig för obehöriga.

När en användare öppnar en webbplats i en ny flik skapas en tom databas med samma namn i de övriga flikar och fönster som är öppna i webbläsaren, om de inte är privata. Databasen används så länge fliken är öppen, därefter raderas den. Men vissa webbplatser kan även läsa in information som kan kopplas till en specifik användare. I exempelvis Google används användar-id för att namnge databasen, vilket kan göra att känslig inloggningsinformation blir synlig för en angripare. Om en användare är inloggad på både privata och arbetsrelaterade konton skapas separata databaser, vilket kan innebära att känslig information sprids mellan kontona och även till obehöriga.

Uppdatering 2022-01-27

Apple har publicerat säkerhetsuppdateringar som bland annat hanterar sårbarheten i Safari. [2]

Påverkade produkter

Safari (version 15)

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt, samt att använda en annan webbläsare fram tills säkerhetsuppdateringarna är installerade.

Källor

[1] https://fingerprintjs.com/blog/indexeddb-api-browser-vulnerability-safari-15/

[2] https://support.apple.com/en-us/HT201222