Opdatering: Apple har rettet udnyttelsen, nedenstående link er bevaret for eftertiden, men virker ikke længere for at vise noget unorm alt.

For et par uger siden var der en aktiv XSS-udnyttelse på Apple.com med deres iTunes-websted. Nå, en tipster sendte os nøjagtig den samme scripting-udnyttelse på tværs af websteder, som blev fundet igen på Apple iTunes-webstedet (UK i dette tilfælde).Som et resultat dukker der nogle ret underholdende varianter af Apple iTunes-siden op, og igen nogle meget skræmmende, da ovenstående skærmbillede viser en login-side, der accepterer brugernavn og adgangskodeoplysninger, gemmer disse login-data på en udenlandsk server og derefter sender du vender tilbage til Apple.com. Den mest irriterende variant, der blev sendt til os, forsøgte at fylde omkring 100 cookies på min maskine, startede en endeløs loop af javascript-pop-ups med Flash-filer indlejret i hver af dem, og iframede omkring 20 andre iframes, alt imens jeg spillede noget virkelig forfærdelig musik.

Her er en relativt harmløs variant af den XSS-kompatible URL, den iframes Google.com:

http://www.apple.com/dk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Det kræver ikke mange kræfter at lave din egen version. Lad os i hvert fald håbe, at Apple løser dette hurtigt.

…