Aggiornamento: Apple ha corretto l'exploit!

Immagino che questo verrà risolto in tempi relativamente brevi, ma puoi fare alcune cose divertenti (e potenzialmente spaventose) con i siti iTunes Affiliate di Apple.com semplicemente modificando i parametri dell'URL. L'URL Apple.com modificato è formato come segue: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Fai clic qui per la versione OSXDaily.com dell'exploit XSS su Apple.com: è sicuro, mostra solo ciò che c'è nello screenshot sopra.

Puoi inserire quello che vuoi nell'URL modificando il testo e i collegamenti alle immagini, il che ha portato ad alcune versioni hackerate estremamente divertenti del sito Web iTunes di Apple. Altri utenti hanno ulteriormente modificato l'URL per poter includere altre pagine Web, javascript e contenuti flash tramite iFrame di altri siti, il che apre la porta a tutti i tipi di problemi. A questo punto è solo divertente perché nessuno lo ha usato per scopi nefasti, ma se il buco è aperto da troppo tempo non stupitevi se qualcuno lo fa. Il lettore OS X Daily Mark ha inviato questo suggerimento con un collegamento modificato che apriva una serie di finestre popup e aveva un iframe che mostrava un contenuto meno che salato, visualizzato sotto l'apparente (sebbene hackerato) Apple.com branding, e questo è esattamente il tipo di cosa che deve essere evitata. Speriamo che Apple risolva il problema rapidamente.

Ecco altri screenshot che mostrano la modifica dell'URL in azione, conservati per i posteri:

Eccone uno che spinge ancora oltre lo scherzo di Windows 7 inserendo un iframe con il sito Microsoft nel contenuto: