各所既報ですね。関連情報として私が見て回ったのは、

• IEにURLを偽装できるパッチ未公開の脆弱性が発見される（セキュリティホール memo）
• はてなダイアリー - hoshikuzu|stardustの書斎 さんの『普通のリンクでも出来るかなＴＥＳＴ』以降
• STUDIO KAMADA さんの日記の IE6の危険な不具合（更新#2） および 2003年12月11日（木）分
• バーチャルネットハッカーっ娘 沙耶16歳さんの『♪ 01 : MSIE:URI偽装ができるバグ、の続報』

です。


しばらくは、WindowsのIEはステておく方向で。ま、私はマカーなので今回のこれは特に困らない訳ですが。
さてしかし、カテゴリを[mac][security]としておりますのは。


この件で、ステータスバーの偽装までできてしまう例を提示されている

1. hoshikuzu|stardustの書斎 さんの『１２月１１日追記３−−−偽装度アップの巻−−−』での“http://www.cnn.com/US/”（はてななので「http://〜」が自動リンクしちゃってますがご注意を）
2. STUDIO KAMADA さんの日記の IE6の危険な不具合（更新#2） での“Google?”

をSafari 1.1.1 (v100.1) と Safari 1.0 (v85.6) とで検証してみたら、どうも挙動が違ったからなんですね。私の所だけかもしれないですけれども。
ちなみに、基本的にどちらもほぼ完全に環境設定を合わせてあります。日本語表示と英語表示の差があったりしますが。
以下、それぞれのスクリーンショット。

• 上記1. の hoshikuzu|stardustの書斎 さんの例
  • Safari 1.1.1 (v100.1) の場合
  • Safari 1.0 (v85.6)の場合
• 上記2. の STUDIO KAMADA さんの日記の例
  • Safari 1.1.1 (v100.1) の場合
  • Safari 1.0 (v85.6)の場合

なんでしょうね。この差は。
Security Update 2003-12-05（当日記の記事）でfixされたFrameworkに何か違いがあるんでしょうかね。


それともうひとつ、このSafariでのステータスバーの表示の件で気になるのは。

• セキュリティホール memo さんの『IEにURLを偽装できるパッチ未公開の脆弱性が発見される』内でのまとめの表では、「Safari 1.0」の「ステータスバー」は「○」、つまり大丈夫と受け取れる
• バーチャルネットハッカーっ娘 沙耶16歳さんの『♪ 01 : MSIE:URI偽装ができるバグ、の続報』の『♪ 01.02 : さらに』では、…………すごーい。Win版MSIEはおろか、Mozilla,Mac版IE,Safari、すべてで再現しました と述べられており、大丈夫ではないと受け取れる

という差があるってことなんですが。


私の手元、つまり上記のスクリーンショットでは、ステータスバーの表示に関しては

• Safari 1.0 (v85.6) はダメ
• Safari 1.1.1 (v100.1) はOK

という結論なのですが...。