三個多月前，安全研究人員Rafay Baloch在微軟Edge和蘋果公司的Safari瀏覽器，發現關於用戶以為自己瀏覽正確網址，但事實上黑客已用漏洞發起攻擊，在不改變網址下用戶正瀏覽黑客修改後的內容。在發現漏洞後，即時向微軟及APPLE反應，然而微軟已經以更新補丁修復漏洞（代號CVE-2018-8383），而Apple卻遲遲未有動作。按業界慣例，在向相關的科技公司報告安全漏洞的90日之後，就決定正式對外公開漏洞訊息，以提醒Safari用戶要提高警愓。

根據Rafay Baloch的介紹，當用戶瀏覽網站加載頁面時，黑客會利用漏洞，讓網址在地址欄顯示不變下，就將頁面內的程式碼，轉換成惡意的指令，以此創建虛假登錄介面及其他需要密碼輸入的畫面，讓用戶真假難分，錯認情況下洩漏自己的用戶名、密碼及其它數據。

到目前為止，Rafay Baloch仍然覺得意外，原因是竟然在Edge和Safari存在該漏洞，但Chrome和火狐卻沒有。而這原因，Baloch就指出，可能是因為「不同的瀏覽器處理導航的手法並不一樣，Safari、Edge瀏覽器在加載內容的過程中，會容許代碼更新。」而要修補這種漏洞也不難，只要使瀏覽器的在頁面完全加載之後，才進行更新內容便可解決漏洞。」

然而，微軟在短時間就修復，但APPLE卻至今還沒有修復就讓人覺得奇怪。雖然蘋果公司的動作如此緩慢，Rafay Baloch也沒有公佈有關發起攻擊的概念驗證編碼，其還在等待蘋果公司對Safari瀏覽器的漏洞進行修補。在蘋果未公佈的更新前，iPhone等蘋果用戶在使用Safari時要小心，最好先使用CHROME或FIREFOX等瀏覽器去進行登錄等動作，以免增加密碼外洩的風險。

來源：rafaybaloch