Actualització: Apple ha corregit l'explotació, l'enllaç següent es conserva per a la posteritat, però ja no funciona per mostrar res anormal.

Fa unes setmanes, hi havia un XSS Exploit actiu a Apple.com amb el seu lloc d'iTunes. Bé, un informador ens va enviar exactament la mateixa explotació de scripts entre llocs que es trobava de nou al lloc d'Apple iTunes (Regne Unit en aquest cas).Com a resultat, apareixen algunes variacions força divertides de la pàgina d'iTunes d'Apple, i de nou algunes de molt aterridores, ja que la captura de pantalla anterior mostra una pàgina d'inici de sessió que accepta informació de nom d'usuari i contrasenya, emmagatzema aquestes dades d'inici de sessió en un servidor estranger i després envia tornes a Apple.com. La variació més molesta que ens va enviar va intentar introduir unes 100 galetes a la meva màquina, va iniciar un bucle interminable de finestres emergents de JavaScript amb fitxers Flash incrustats a cadascuna d'elles i va emmarcar uns 20 iframes més, tot mentre reproduïa una música realment horrible.

Aquí hi ha una variació relativament inofensiva de l'URL compatible amb XSS, iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

No es necessita gaire esforç per fer la teva pròpia versió. De totes maneres, esperem que Apple ho solucioni ràpidament.

Adjuntem algunes captures de pantalla més dels enllaços enviats pel informador “WhaleNinja” (per cert, un gran nom)