Web security research

Apple Safari browser address bar spoofing (CVE-2019-8670) / Safariのアドレスバー偽装の脆弱性


This article contains both English and Japanese content. Articles written in Japanese are at the bottom of this page.



 I discovered and reported an address bar spoofing vulnerability in Apple Safari (included with macOS). As a result of discussions to fix this vulnerability, we have successfully released a security patch, which we report here. We would like to thank everyone who cooperated in fixing the vulnerability. Also, I do not offer CVE-2019-8670 attack methods or PoC or concrete screen captures right after security patch release from the point of view of user protection, respecting discussions with Apple Product Security and vulnerability disclosure policy.

 All of the articles and vulnerability reports were done on holidays and have nothing to do with my affiliation.



 Address bar spoofing may occur if a malicious website (hyperlink) is accessed. This vulnerability has been resolved by fixing inconsistent user interface issues.



 This vulnerability information will not be released prior to public release at the request of Apple Product Security. Thus, the detailed information in this article is limited to public information based on discussions and survey results with Apple Product Security. Please refer to the information published by Apple for the particularly affected versions.


Product: Safari, Safari Technology Preview
Available for: macOS Mojave 10.14.4-10.14.5 * It is a verification result at the time of reporting and it is not this limitation!
Impact: phishing may be exploited to steal personal or confidential information


 At the time of reporting, I did not exhaustively verify the combination of the previous OS version and the build and Safari versions, but latest versions of macOS such as High Sierra/Sierra Confirmed to be affected. In addition, this article describes only facts and refrains from describing the author(reporter) consideration or speculation.

 We are in discussions with Apple Product Security on whether I will disclose technical information about CVE-2019-8670 in the future.



 To fully address this vulnerability, update macOS to the latest version of the official released version. Note that some beta releases do not address this vulnerability. (e.g. macOS Mojave 10.14.6 beta)

 In the currently supported macOS, you can update to the latest version from the software update function.

 Apple security updates are also available for manual download.


References -



[Japanese article]


  Apple Safari(macOS付属)において、アドレスバー偽装の脆弱性を発見し報告しました。この脆弱性の修正に向け協議を進めた結果、無事にセキュリティパッチがリリースされましたので、ここにご報告いたします。脆弱性の修正にあたり、ご協力いただいた皆様に感謝を申し上げます。また、Apple Product Securityとの協議および脆弱性公開ポリシーを尊重し、ユーザ保護の観点からセキュリティパッチ公開直後において、私がCVE-2019-8670の攻撃手法やPoCおよび、具体的なスクリーンキャプチャを提供することはありません。







 本脆弱性情報はApple Product Securityの依頼により、一般公開に先立って公表することはありません。つきましては、本稿での詳細情報は、Apple Product Securityとの協議および調査結果に基づく公開情報に限定されます。特に影響するバージョンは、Appleが公開する情報を参照してください。

製品名: Safari, Safari Technology Preview
対象OS: macOS Mojave 10.14.4 - 10.14.5 * 報告時点の検証結果でありこの限りでない
影響: フィッシングに悪用され個人情報や機密情報が窃取される可能性がある


 報告時点において、過去のOSバージョンとビルドおよび、Safariのバージョンの組み合わせを網羅的に検証していませんが、High Sierra/SierraのサポートされているmacOSの最新のバージョンにおいても、この脆弱性の影響を受けることを確認しました。なお、本稿は事実のみを記載し、筆者(報告者)の考察や推測を述べることは差し控えます。今後、私からCVE-2019-8670に関しての技術的情報を開示するかどうかについては、Apple Product Securityと協議中です。



  この脆弱性に完全に対処するためには、macOSを正式なリリース版の最新のバージョンにアップデートしてください。一部のbetaリリースには、この脆弱性に対応していないことに注意してください。(例: macOS Mojave 10.14.6 beta)





CVE-2019-8670 -


その他の記事 / Other articles


 These list related articles, but do not guarantee the accuracy of the contents.

Vulmon -

SecurityFocus -