巴基斯坦安全研究人員Rafay Baloch發現，Safari瀏覽器中的漏洞允許攻擊者控制地址欄上顯示的內容，使得JavaScript可在完全加載網頁之前更改地址欄，從而易出現用戶難以識別的網絡釣魚攻擊。

Rafay Baloch只在Safari和Edge瀏覽器中找出了這個漏洞，他發現後立即向蘋果公司和微軟公司報告了該漏洞。微軟在8月14日發佈了一款Edge補丁作爲其安全升級的一部分，而蘋果直到近日才提供補丁。（向公衆公衆曝光的三個月寬限期在一週前到期）

雖然這個漏洞還沒有得到一個嚴重程度評分，但它已經得到了一個追蹤id: CVE-2018-8383。爲了利用這個漏洞，攻擊者需要欺騙受害者進入一個爲輕鬆實現漏洞而專門設計的網站，蘋果推遲補丁可能會讓Safari瀏覽器容易受到攻擊，允許攻擊者僞造任何網頁，因爲受害者看到合法的域名在地址欄中有完整的身份驗證標記會誤以爲網頁安全。

當研究人員用PoC(概念驗證)代碼測試bug時，頁面能夠從Gmail加載內容，而頁面託管在sh3ifu.com上，Bug明顯在起作用：不過有些元素在頁面加載時還未加載完畢，表明工作過程並不完整（概念驗證視頻網址：https://youtu.be/dGJSsK55nfQ）。

Safari瀏覽器當前面臨的唯一困難是用戶無法在頁面加載時輸入字段。Baloch說，他和他的團隊通過在屏幕上添加假鍵盤克服了這個問題，這是銀行特洛伊木馬多年來一直做的事情。