Frissítés: Az Apple kijavította a kizsákmányolást, az alábbi linket megőrizte az utókor számára, de már nem képes semmi szokatlant megjeleníteni.

Néhány héttel ezelőtt aktív XSS Exploit volt az Apple.com webhelyen az iTunes webhelyükön. Nos, egy tippadó pontosan ugyanazt a több webhelyen futó szkriptelési kizsákmányolást küldte el nekünk, amely ismét megtalálható az Apple iTunes oldalán (ebben az esetben az Egyesült Királyságban).Ennek eredményeként az Apple iTunes oldalának néhány meglehetősen mulatságos változata jelenik meg, és ismét néhány nagyon ijesztő, mivel a fenti képernyőképen egy bejelentkezési oldal látható, amely elfogadja a felhasználónév és jelszó információkat, eltárolja ezeket a bejelentkezési adatokat egy idegen szerveren, majd elküldi. vissza az Apple.com oldalra. A nekünk küldött legbosszantóbb variáció körülbelül 100 cookie-t próbált meg a gépemre tömni, a javascript felugró ablakok végtelen hurkát indította el, mindegyikbe Flash-fájlokkal, és körülbelül 20 másik iframe-et is beépített iframe-be, mindezt nagyon iszonyatos zenék lejátszása közben.

Íme az XSS-képes URL egy viszonylag ártalmatlan változata, a Google.com iframe-jei:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Nem igényel sok erőfeszítést a saját verzió elkészítéséhez. Mindenesetre reméljük, hogy az Apple gyorsan megoldja a problémát.

Mellékelve van még néhány képernyőkép a „WhaleNinja” (egyébként remek név) által küldött linkekről