Safari 5.0.1(及び Safari 4.1.1)で「Autofill機能からアドレス帳の情報が漏洩する危険性」は修正されました。

SafariのAutofill機能からアドレス帳の情報が漏洩する危険をセキュリティ研究者のJeremiah Grossman氏(WhiteHat SecurityのCTO)が公開しています。(via.Safariの「自動入力」をオンにしていると情報を抜かれる可能性があるよ、という英語の記事。 (BlogPeople Blog)

Jeremiah Grossman: I know who your name, where you work, and live (Safari v4 & v5) コメントを見る コメントを見る

Right at the moment a Safari user visits a website, even if they’ve never been there before or entered any personal information, a malicious website can uncover their first name, last name, work place, city, state, and email address. Safari v4 & v5, with a combined market browser share of 4% (~83 million users), has a feature (Preferences > AutoFill > AutoFill web forms) enabled by default. Essentially we are hacking auto-complete functionality.

AutoFillはアドレス帳の情報をフォームに自動で入力する機能ですが、

フォームにnameとかcityとかemailと付けたフィールドを用意してJavaScriptを使ってAからZまでアルファベットを入力させるとどっかで自動入力が働いてフィールドが埋まるので、埋まったらそれがそれに該当するもの、ということで次々と抜いていく、というテクニックのようです

既に実証コードも公開されており、利用者はAutofillをオフにすることが推奨されるとされています。

その他、これらの記事が参考になります。