Actualizare: Apple a remediat exploit-ul, linkul de mai jos este păstrat pentru posteritate, dar nu mai funcționează pentru a afișa ceva anormal.

Acum câteva săptămâni, a existat un XSS Exploit activ pe Apple.com cu site-ul iTunes. Ei bine, un informator ne-a trimis exact același exploit de scripting cross site găsit din nou pe site-ul Apple iTunes (Marea Britanie în acest caz).Ca urmare, apar unele variații destul de amuzante ale paginii Apple iTunes și, din nou, unele foarte înfricoșătoare, deoarece captura de ecran de mai sus demonstrează o pagină de conectare care acceptă informații despre numele de utilizator și parolă, stochează aceste date de conectare pe un server străin, apoi trimite te întorci la Apple.com. Cea mai enervantă variantă trimisă nouă a încercat să introducă aproximativ 100 de cookie-uri în aparatul meu, a inițiat o buclă nesfârșită de ferestre pop-up javascript cu fișiere Flash încorporate în fiecare dintre ele și a încadrat în iframe alte aproximativ 20 de cadre iframe, toate în timp ce redau muzică cu adevărat îngrozitoare.

Iată o variantă relativ inofensivă a adresei URL capabile de XSS, care încadrează Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Nu este nevoie de prea mult efort pentru a-ți face propria versiune. Oricum, să sperăm că Apple o rezolvă repede.

Atașat sunt câteva capturi de ecran cu link-uri trimise de tipster „WhaleNinja” (nume grozav apropo)