Güncelleme: Apple açığı düzeltti, aşağıdaki bağlantı gelecek nesiller için korunuyor ancak artık anormal bir şey göstermiyor.

Birkaç hafta önce, Apple.com'da iTunes sitesinde etkin bir XSS İstismarı vardı. Bir ihbarcı, Apple iTunes sitesinde (bu durumda Birleşik Krallık) tekrar bulunan aynı siteler arası komut dosyası çalıştırma istismarını bize gönderdi.Sonuç olarak, Apple iTunes sayfasının bazı oldukça eğlenceli varyasyonları ve yine bazı çok korkutucu varyasyonları vardır, çünkü yukarıdaki ekran görüntüsü, kullanıcı adı ve parola bilgilerini kabul eden, bu oturum açma verilerini yabancı bir sunucuda depolayan ve ardından Apple.com'a geri dönersiniz. Bize gönderilen en sinir bozucu varyasyon, makineme yaklaşık 100 çerez doldurmaya çalıştı, her birinin içine Flash dosyaları yerleştirilmiş sonsuz bir javascript açılır pencereleri döngüsü başlattı ve gerçekten berbat bir müzik çalarken yaklaşık 20 başka iframe'i iframe etti.

XSS özellikli URL'nin görece zararsız bir varyasyonu, Google.com'u iframe'liyor:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Kendi versiyonunu yapmak fazla çaba gerektirmez. Her neyse, Apple'ın bunu çabucak düzelteceğini umalım.

Ekte, “WhaleNinja” (bu arada harika isim) tarafından gönderilen bağlantıların birkaç ekran görüntüsü daha var