De adresbalk van Safari was door een beveiligingslek te spoofen, waardoor aanvallers overtuigende phishingaanvallen tegen Apple-gebruikers hadden kunnen uitvoeren. De kwetsbaarheid werd al in juli van dit jaar door Apple verholpen, maar details over het beveiligingslek zijn nu openbaar gemaakt.

Het probleem deed zich voor bij de kleine Latijnse letter "dum". Deze letter werd in Safari als een normale "d" weergegeven. Via Punycode is het mogelijk om domeinen met buitenlandse karakters te registreren. Zo is het mogelijk om een domein als "xn--iclou-rl3s.com" te registreren, dat alleen door Safari als "icloud.com" werd weergegeven. Bij andere browsers was de werkelijke domeinnaam wel te zien. Dit wordt ook wel een "homograph" aanval genoemd.

Een aanvaller had zodoende voor allerlei domeinen met een "d" een phishingvariant kunnen maken, zoals Linkedin.com, Adobe.com, Wordpress.com, Dropbox.com, Godaddy.com en Reddit.com. Ook had een aanvaller al deze phishingvarianten van een geldig tls-certificaat kunnen voorzien. Apple werd begin april door securitybedrijf Tencent ingelicht, waarna het probleem begin juli in macOS, iOS, tvOS en watchOS werd gepatcht.