Aktualizacja: Firma Apple naprawiła exploita, poniższy link został zachowany dla potomności, ale nie wyświetla już żadnych nieprawidłowości.

Kilka tygodni temu w witrynie Apple.com w witrynie iTunes pojawił się aktywny exploit XSS. Cóż, pewien typer przesłał nam dokładnie ten sam exploit cross-site scripting, który ponownie znalazł się na stronie Apple iTunes (w tym przypadku w Wielkiej Brytanii).W rezultacie pojawia się kilka dość zabawnych odmian strony Apple iTunes i znowu kilka bardzo przerażających, ponieważ powyższy zrzut ekranu pokazuje stronę logowania, która akceptuje nazwę użytkownika i hasło, przechowuje te dane logowania na serwerze zagranicznym, a następnie wysyła wrócisz do Apple.com. Najbardziej irytująca odmiana wysłana do nas próbowała umieścić około 100 plików cookie na moim komputerze, zainicjowała niekończącą się pętlę wyskakujących okienek javascript z osadzonymi plikami Flash w każdym z nich i utworzyła ramki iframe około 20 innych ramek iframe, a wszystko to podczas odtwarzania naprawdę okropnej muzyki.

Oto stosunkowo nieszkodliwa odmiana adresu URL z obsługą XSS, zawiera element iframe Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Stworzenie własnej wersji nie wymaga wiele wysiłku. W każdym razie miejmy nadzieję, że Apple szybko to naprawi.

W załączeniu kilka zrzutów ekranu z linkami przesłanymi przez typera „WhaleNinja” (nawiasem mówiąc, świetna nazwa)