Aggiornamento: Apple ha risolto l'exploit, il collegamento sottostante è conservato per i posteri ma non funziona più per mostrare qualcosa di anomalo.

Qualche settimana fa, c'era un XSS Exploit attivo su Apple.com con il loro sito iTunes. Bene, un informatore ci ha inviato esattamente lo stesso exploit di cross site scripting trovato di nuovo sul sito iTunes di Apple (Regno Unito in questo caso).Di conseguenza, ci sono alcune varianti piuttosto divertenti della pagina iTunes di Apple che appaiono, e ancora alcune molto spaventose, poiché lo screenshot sopra mostra una pagina di accesso che accetta informazioni su nome utente e password, memorizza questi dati di accesso su un server esterno, quindi invia torni su Apple.com. La variazione più fastidiosa che ci è stata inviata ha provato a caricare circa 100 cookie sulla mia macchina, ha avviato un ciclo infinito di pop-up javascript con file Flash incorporati in ciascuno di essi e ha eseguito l'iframe di circa altri 20 iframe, il tutto mentre riproduceva musica davvero orribile.

Ecco una variazione relativamente innocua dell'URL compatibile con XSS, iframe Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Non ci vuole molto impegno per fare la tua versione. Ad ogni modo, speriamo che Apple risolva il problema in fretta.

In allegato ci sono alcuni screenshot dei link inviati dal tipster "WhaleNinja" (grande nome tra l' altro)