Safari 15がGoogle IDを第三者に漏洩させる原因となっていたIndexedDBの漏洩問題は、まもなく修正されます。先週、AppleはmacOS Monterey 12.2とiOS 15.3のリリース候補版を開発者向けに配布しました。Safariのデータ漏洩問題は、これらの新OSビルドに含まれるセキュリティ問題の一つです。

Safari 15は漏れやすい

2022年1月初旬、開発チームFingerprintJSは、Safari 15のIndexedDBのバグにより、ユーザーのインターネットアクティビティがあらゆるウェブサイトに漏洩する可能性があるというレポートを発表しました。Appleのエンジニアは修正に取り組み始めましたが、リリース時期については明言しませんでした。

このリークは、Safariが「同一オリジンポリシー」に違反していることに起因しています。このセキュリティ機能は、あるオリジンから読み込まれたドキュメントやスクリプトが、他のオリジンのリソースとやり取りする方法を制限します。このバグはSafariにのみ影響するため、Macでは簡単に回避できました。しかし、iOSでは状況が異なります。モバイルプラットフォーム上のすべてのブラウザは、このバグを含むWebKitブラウザエンジンを使用する必要があるためです。

Safariデータ漏洩の修正

この危険な脆弱性に対する修正は、早ければ今週中にも公開される可能性があります。Appleはわずか2回のベータビルドを経て、iOS 15.3のリリース候補版を公開しました。同時に、クパティーノに拠点を置く同社はmacOS Monterey 12.2のリリース候補版も公開しました。

Appleは新しいソフトウェアビルドでSafariの漏洩が修正されたと明言していませんが、テストでは修正されていることが示されています。最新のiOS 15.3リリース候補版では、FingerprintJSがこのバグを検証するために構築したデモウェブサイトで漏洩したデータが表示されなくなりました。

9to5Macによる内部テストでは、macOS Monterey 12.2リリース候補版にもこの修正が含まれていることが確認されています。この脆弱性は、この最新版以前のすべてのiOS 15およびmacOS Montereyリリースに影響を与えていました。

Appleは新バージョンのリリース日を具体的に発表することはありませんが、通常はリリース候補版のリリースから数日以内にリリースされます。そのため、今後数日以内にソフトウェア・アップデートで新バージョンが利用可能になると予想されます。