Perbarui: Apple telah memperbaiki eksploit, tautan di bawah dipertahankan untuk anak cucu tetapi tidak lagi berfungsi untuk menampilkan sesuatu yang tidak normal.

Beberapa minggu lalu, ada XSS Exploit aktif di Apple.com dengan situs iTunes mereka. Yah, seorang informan mengirimi kami eksploitasi skrip lintas situs yang sama persis yang ditemukan lagi di situs Apple iTunes (Inggris dalam kasus ini).Akibatnya, ada beberapa variasi yang agak lucu dari halaman Apple iTunes yang muncul, dan sekali lagi beberapa yang sangat menakutkan, seperti tangkapan layar di atas menunjukkan halaman login yang menerima informasi nama pengguna dan kata sandi, menyimpan data login ini di server asing, lalu mengirimkannya Anda kembali ke Apple.com. Variasi paling menjengkelkan yang dikirimkan kepada kami mencoba memasukkan sekitar 100 cookie ke mesin saya, memulai loop pop-up javascript tanpa akhir dengan file Flash yang disematkan di masing-masingnya, dan mem-iframe sekitar 20 iframe lainnya, semuanya sambil memutar musik yang sangat buruk.

Berikut adalah variasi yang relatif tidak berbahaya dari URL berkemampuan XSS, ini adalah iframe Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Tidak perlu banyak usaha untuk membuat versi Anda sendiri. Bagaimanapun, semoga Apple memperbaiki ini dengan cepat.

Terlampir adalah beberapa tangkapan layar dari tautan yang dikirim oleh keterangan rahasia “WhaleNinja” (omong-omong, nama yang bagus)