Safari漏洞可能導致用戶遭網釣攻擊

Safari被爆有網址列欺騙（Address Bar Spoofing）漏洞未修補，可能害用戶連上惡意網站。

網址造假漏洞是一種理解競爭（race condition）型態的漏洞，原因是瀏覽器允許JavaScript在網頁完全載入之前更新網址列的內容。駭客利用setInterval函式造成的時間延遲，載入假網站的內容。

研究人員Rafa Baloch在微軟Microsoft Edge和蘋果Safari都成功複製此一漏洞。他在6月2 日向微軟及蘋果通報此一漏洞。不過只有微軟做出回應。微軟在8月14日的安全更新中修補編號CVE-2018-8383的Microsoft Edge漏洞。

蘋果Safari雖然防止用戶在網頁載入狀態下在輸入格中鍵入資訊，但是研究人員藉由輸入假鍵盤（類似螢幕鍵盤）可成功繞過這個機制。蘋果雖然在6月初接獲通知，但到了8月31日的90天期間仍然未修補。

因此此時Safari用戶有遭網釣攻擊的風險。蘋果預計要到下一次Safari 安全更新，才會修補本項漏洞。

就在昨天Google Chrome 69也因為隱藏版的URL顯示設計，引發安全研究人員批評可能讓使用者被導向假網站攻擊。