Oligur

• ニュース

Appleは、ウェブサイトがユーザーの閲覧習慣やGoogleアカウントの詳細を閲覧できるSafari 15のバグに対する修正を準備しました。これはSafariやApp Storeのサードパーティ製アプリで使用されているAppleのブラウザエンジンであるWebKitのバグであるため、ChromeやBraveを含むほぼすべてのiOSおよびiPadOSブラウザに影響します。

残念ながら、Appleのパッチは、同社がmacOS、iOS、iPadOSの新しいアップデートをリリースするまで利用できません。リリース時期については現時点では発表されていません。Appleは現在、新しいソフトウェアアップデートのベータテストを行っていますが、すべてのユーザーに提供される前に修正が実装されるには遅すぎる可能性があります。

Apple、Safariの大規模リークを修正

FingerprintJSによって最初に発見されたこのバグは、Safari 15がIndexedDB APIを処理する方法に起因しています。本来であればデータベースを保護するべきところ、このバグによってほぼすべてのウェブサイトからデータベースが無防備な状態になってしまうのです。

前回のレポートより:

IndexedDB は「同一オリジンポリシー」と呼ばれるセキュリティメカニズムを採用しています。これは、あるオリジンから読み込まれたドキュメントやスクリプトが、他のオリジンのリソースとどのように連携するかを制限するものです。言い換えれば、同一オリジンポリシーは、あるウェブサイトが別のウェブサイトで保存されたデータにアクセスすることを防止します。

しかし、Safari 15では、同一オリジンポリシーが正しく機能しないバグが発生しています。これにより、ウェブサイトは他のサイトが作成したデータベースにアクセスでき、外部の閲覧習慣を把握できるようになります。

Appleはその後、GitHub上のWebKitコミットを通じて、このセキュリティ脆弱性に対する修正プログラムを開発したことを確認しました。しかし、Appleがいつ修正プログラムを公開するかはまだ不明です。

ソフトウェアの更新が必要です

Appleは、Safariの単純なアップデートではなく、macOS、iOS、iPadOSのシステムソフトウェアアップデートを通じて修正を配布する必要があるようです。Appleは様々なプラットフォーム向けに新しいソフトウェアベータ版のテストを続けています。しかし、この修正が次のバージョンまで実装される可能性は低いでしょう。

当面の間、この問題を回避する唯一の方法は、別のウェブブラウザを使用することです。JavaScriptを無効にすると、Safariから漏洩するデータ量を減らすことができます。ただし、これは完全に安全というわけではありません。また、JavaScriptを無効にすると、Safari内で特定のウェブサイトが正しく読み込まれなくなる場合があります。

Appleの修正プログラムの詳細が分かり次第、お知らせいたします。Safari 14以前をご利用の場合は、このバグの影響を受けませんのでご注意ください。