Door een onvolledige beveiligingsupdate van Apple lekt Safari weer privégegevens aan kwaadaardige websites. Halverwege juli demonstreerde beveiligingsonderzoeker Jeremiah Grossman dat de auto-complete functionaliteit in de browser het voor websites mogelijk maakte om voornaam, achternaam, werkadres, stad, staat en e-mailadres van Safari-gebruikers te achterhalen, ook al hadden die de website nog nooit eerder bezocht.

Apple kwam een dag voor de presentatie van Grossman met een patch, maar die is volgens de onderzoeker "incompleet". Het is niet alleen mogelijk om de aanval weer uit te voeren, dit keer kan het sneller en met meer gegevens. Grossman waarschuwde Apple op tien augustus over het probleem met de patch, maar kreeg geen antwoord. Op dertien augustus probeerde hij het weer, maar wederom geen reactie van Apple, tot hij een week later werd gebeld. De werknemer van Apple wist echter niets van het net gerapporteerde probleem en belde eigenlijk naar aanleiding van de eerste rapportage door Grossman. Uiteindelijk verontschuldigde 'Cupertino' zich voor het laat reageren en werden de details van de kwetsbaarheid uitgewisseld.

Patch
Het probleem is echter niet zo eenvoudig op te lossen, merkt de onderzoeker op. "Gelukkig is voor security-bewuste gebruikers een patch niet nodig om zich te beschermen. Schakel gewoon de AutoFill feature uit." Om de aanval nu te laten slagen moet een kwaadaardige website het slachtoffer wel twee toetsen laten indrukken. Zodra de benodigde toetsen zijn ingedrukt, beschikt de website over allerlei persoonlijke informatie, zonder dat de gebruiker dit weet, besluit Grossman. De onderzoeker maakte deze video om zijn hack te demonstreren.