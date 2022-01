Apple-Entwickler haben eine gravierende Lücke im Safari-Unterbau WebKit geschlossen. Die Schwachstelle erlaubt es Webseiten, Einblick in die Surf-Aktivitäten zu erhalten und Nutzer unter Umständen auch eindeutig zu identifizieren.

Apples WebKit-Changelog zufolge wurden dafür mehrere Code-Anpassungen umgesetzt und der ursprüngliche Bug-Bericht gilt damit als 'abgehakt'.

Same-Origin-Policy wird missachtet

Aus einem noch unbekannten Grund missachtet Safari seit Version 15 die "Same-Origin-Policy" und damit eines der grundlegendsten Sicherheitskonzepte des Webs. Statt nur eigene Inhalte, Skripte und Datenbanken lesen zu können, sind Webseiten dadurch in der Lage, auch die IndexedDB-Datenbanken anderer in der laufenden Browser-Session besuchter Webseiten einzusehen. Das verschafft einen schnell sehr umfangreichen Einblick in das Surf-Verhalten.

Zusätzlich sind in solchen Datenbanken unter Umständen Account-IDs zu finden – etwa die ID eines Google-Accounts. Darüber kann es für Angreifer möglich sein, den Nutzer zu identifizieren.

Lücke seit Monaten offen

Ein Sicherheitsforscher hatte die neuen Lücken in Safari 15 schon im vergangenen November an Apple gemeldet, reagiert hatte das Unternehmen lange offensichtlich nicht. Erst nach anschwellender Kritik und breiter Berichterstattung reagierte der Konzern nun. Die Lücke scheint seit Veröffentlichung des Browsers mit iOS 15, iPadOS 15 sowie für macOS offenzustehen – bis zum heutigen Tag. Die Seite safarileaks.com demonstriert das Problem.

Den WebKit-Patch muss Apple jetzt nämlich noch in seine Betriebssysteme respektive eine neue Safari-Version integrieren und diese an Endkunden ausliefern. Wann das Update erfolgen soll, bleibt vorerst unklar. Bei iOS und iPadOS ist dafür ein Betriebssystem-Update erforderlich.

Mac-Nutzer können bis dahin auf einen anderen Browser ausweichen. iOS- und iPadOS-Nutzern hilft das allerdings nicht, weil dort alle Browser im Unterbau auf WebKit setzen müssen – und somit dieselbe Lücke aufweisen. Das Abschalten von JavaScript kann die Problematik etwas verkleinern, macht viele Webseiten aber auch unbenutzbar.

(lbe)