Czeka nowa wersja systemu. Potrzebujesz jej, jeśli używasz konta Google
Do niedawna użytkownicy Safari na urządzeniach Apple mogli mieć uzasadnione obawy o bezpieczeństwo swoich danych ze względu na poważną lukę. Pozwalała ona uzyskać sporo informacji o użytkowniku. Apple ostatecznie udało się ją jednak załatać.
Przez istniejący dotychczas błąd w API możliwe było śledzenie aktywności użytkownika Safari. Co więcej, można było także dotrzeć do jego identyfikatora Google oraz zdjęcia. Chociaż wcześniej Apple ignorowało zgłoszenia dotyczące problemu, luka ostatecznie została załatana.
Załatane luki w silniku WebKit
Doniesienia Apple wskazują, że dotychczasowe problemy z WebKitem zostały załatane razem z wydaniem iOS 15.3 i iPadOS 15.3. Z opisu wynika, że błąd dotyczący dostępów skryptów w interfejsie API został poprawiony poprzez wzmocnione sprawdzanie poprawności danych wejściowych. Sprawie został przypisany kod CVE-2022-22594.
Na tym jednak nie koniec, bo z listy udostępnionych poprawek dla tego wydania wynika, że Apple naprawiło także kolejne trzy problemy w swoim silniku. Luki oznaczone jako CVE-2022-22589, CVE-2022-22590 oraz CVE-2022-22592 miały umożliwiać uruchomienie dowolnego skryptu Javascript przesłanego w złośliwie spreparowanej wiadomości e-mail.
Deweloperzy rozwiązali problemy z walidacją, poprawiając filtrowanie danych wejściowych. Zwrócono także uwagę na kłopoty zarządzaniem pamięcią po jej zwolnieniu przez silnik oraz usunięto błąd logiczny, który poprawił zarządzanie stanem.
Aktualizacja jest niezbędna
Ponieważ poprawki wymagają zaktualizowania systemu na urządzeniach mobilnych Apple, ich użytkownicy powinni jak najszybciej zadbać o uaktualnienie swojego oprogramowania. Gdybyśmy jednak o tym zapomnieli, iPhone i iPad samodzielnie przypomną nam o konieczności dokonania aktualizacji za pomocą stosownego komunikatu.