Lamiyi

Safari の自動入力バグにより、ユーザーが以前にサイトで個人情報を入力しなくても、名、姓、勤務先、市、州、電子メール アドレスが悪意のある Web サイトに公開される可能性があります。

Jeremiah Grossman 氏によると、Safari は HTML フォームのテキスト フィールドに、名前、会社、都市、州、国、電子メールなどの特定の属性名を自動入力します。

これらのフィールドは、ローカルオペレーティングシステムのアドレス帳にあるユーザーの個人記録のデータを使用して自動入力されます。繰り返しになりますが、この機能は、ユーザーがどのウェブサイトにもこのデータを入力していない場合でも機能します。また、この動作は、フォームに入力された後にウェブブラウザが記憶する通常のオートコンプリートデータと混同しないでください。悪意のあるウェブサイトがSafariからアドレス帳カードのデータを密かに抽出するために必要なことは、前述の名前のフォームテキストフィールドを動的に（おそらく目に見えない形で）作成し、JavaScriptを使用してA〜Zのキーストロークイベントをシミュレートすることだけです。データが自動入力されると、つまり入力されると、そのデータにアクセスして攻撃者に送信することができます。

Grossman氏は概念実証コードを投稿しました（Robert "RSnake" Hansen氏の厚意によりホストされています）。彼はAppleにも問い合わせを試みましたが、返答はありませんでした。ご自身を守るために、当面はSafariの自動入力を無効にしておくことをお勧めします。

下のビデオをご覧ください...

続きを読む [MacRumors経由]