Safari被爆有网址列欺骗(Address Bar Spoofing)漏洞未修补,可能害用户连上恶意网站。
网址造假漏洞是一种理解竞争(竞争条件)形态的漏洞,原因是浏览器允许JavaScript在网页完全加载之前更新网址列的内容。黑客利用setInterval函数造成的时间延迟,加载假网站的内容。
研究人员Rafa Baloch在微软Microsoft Edge和苹果Safari都成功复制该漏洞。他在6月2日向微软及苹果通报该漏洞。不过只有微软做出回应。微软在8月14日的安全更新中修补编号CVE-2018-8383 的Microsoft Edge漏洞。
苹果Safari虽然防止用户在网页加载状态下在输入格中键入信息,但是研究人员借由输入假键盘(类似屏幕键盘)可成功绕过这个机制。苹果虽然在6月初接获通知,但到了8月31日的90天期间仍然未修补。
因此此时Safari用户有遭网络钓鱼攻击的风险。苹果预计要到下一次Safari安全更新,才会修补本项漏洞。
就在昨天Google Chrome 69也因为隐藏版的URL显示设计,引发安全研究人员批评可能让用户被导向假网站攻击。