Nel corso del weekend ha fatto scalpore la scoperta di un pericoloso bug individuato all’interno del motore WebKit di Safari che, se sfruttato, permette di raccogliere dati e persino l’identità utente Google ID: Apple non ha ancora rilasciato dichiarazioni ufficiali in merito, in ogni caso la multinazionale sta già lavorando per risolvere il problema con uno dei prossimi aggiornamenti.
La scoperta dei lavori in corso in Apple per risolvere il bug di Safari, segnalata da 9to5Mac, è stata possibile perché WebKit è un software Open Source: l’ultima versione in lavorazione è già stata pubblicata da Apple e avvistata nell’archivio pubblico di GitHub.
Ricordiamo che il problema risiede nella implementazione IndexedDB, una API Javascript impiegata per memorizzare sul computer dell’utente dati di navigazione e non solo. Siti web malevoli realizzati ad hoc potrebbero sfruttare questa falla per accedere alla cronologia dei siti web visitati dall’utente, all’interno di altre schede e finestre di navigazione, sia su Mac che su iPhone e iPad. Sempre tramite la falla è in teoria possibile ottenere anche dati sull’account Google dell’utente.
Occorre rilevare che lo stesso bug interessa anche i browser web terze parti che funzionano con lo stesso motore Webkit di Safari, quindi inclusi Google Chrome e Microsoft Edge. Ricordiamo infatti che Apple richiede che tutti i browser per iPhone e iPad debbano utilizzare WebKit.
Utenti e programmatori segnalano la presenza della soluzione del bug Safari nell’ultima versione WebKit pubblicata su GitHub, in ogni caso la soluzione non sarà disponibile per tutti gli utenti fino a quando Apple rilascerà nuovi aggiornamenti per macOS Monterey, iOS e iPadOS 15 contenente la versione aggiornata di Safari. La multinazionale di Cupertino non ha risposto alle richieste circa le tempistiche di rilascio, in ogni caso è lecito presumere che Apple rilascerà al più presto possibile gli aggiornamenti con la soluzione del bug di Safari.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.