信息來源：hackernews

新浪科技訊 北京時(shí)間9月12日早間消息，據(jù)美國科技媒體The Register報(bào)道，安全研究人員發(fā)現(xiàn)Edge和Safari瀏覽器存在漏洞，惡意者可以利用漏洞發(fā)起攻擊，在不改變地址的情況下改變網(wǎng)頁內(nèi)容。

安全研究人員拉菲·巴羅奇（Rafay Baloch）指出，微軟已經(jīng)用補(bǔ)丁修復(fù)漏洞，不過蘋果行動(dòng)遲緩，所以目前Safari仍然不安全。

通過漏洞，攻擊者可以加載合法頁面，讓網(wǎng)頁地址在地址欄顯示，然后快速將頁面內(nèi)的代碼轉(zhuǎn)換為惡意代碼，地址欄中的URL地址無需改變。這樣一來，攻擊者可以創(chuàng)建虛假登錄屏幕或者其它表格，收集用戶名、密碼及其它數(shù)據(jù)，用戶很難區(qū)分真假，他們會認(rèn)為自己登錄的頁面是真實(shí)的。

瀏覽器的源碼是封閉的，巴羅奇不清楚Edge和Safari存在該漏洞，但Chrome和火狐沒有的原因。照他的猜測，瀏覽器決定何時(shí)顯示頁面地址可能是問題的關(guān)鍵。巴羅奇說：“不同的瀏覽器處理導(dǎo)航的手法并不一樣，當(dāng)頁面正在加載時(shí)，Safari、Edge瀏覽器允許代碼更新。瀏覽器可以允許地址欄在頁面完全加載之后更新一次，這樣就可以解決問題了?！?

微軟目前已經(jīng)修復(fù)漏洞。6月2日巴羅奇向蘋果提交報(bào)告，至今還沒有修復(fù)。按照慣例有90天的時(shí)間窗口，巴羅奇說他會披露漏洞，但是在蘋果發(fā)布補(bǔ)丁之前不會公開代碼。