Aktualizace: Apple opravil exploit, níže uvedený odkaz je zachován pro budoucí generace, ale již nefunguje, aby zobrazoval něco neobvyklého.

Před několika týdny byl na Apple.com aktivní XSS Exploit s jejich webem iTunes. Tipér nám poslal přesně stejný exploit cross site scripting, který jsme našli znovu na webu Apple iTunes (v tomto případě ve Spojeném království).V důsledku toho se objevují některé docela zábavné varianty stránky Apple iTunes a opět některé velmi děsivé, protože výše uvedený snímek obrazovky ukazuje přihlašovací stránku, která přijímá informace o uživatelském jménu a hesle, ukládá tyto přihlašovací údaje na cizí server a poté odesílá vrátíte se na Apple.com. Nejotravnější varianta, která nám byla zaslána, se pokusila nacpat do mého počítače asi 100 cookies, spustila nekonečnou smyčku vyskakovacích oken javascriptu se soubory Flash vloženými do každého z nich a vložila do iframe asi 20 dalších prvků iframe, to vše při přehrávání opravdu hrozné hudby.

Zde je relativně neškodná varianta adresy URL s podporou XSS, která obsahuje prvky iframe Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Vytvořit vlastní verzi nevyžaduje mnoho úsilí. Každopádně doufejme, že to Apple rychle napraví.

Přikládáme několik dalších snímků obrazovky s odkazy zaslanými tipérem „WhaleNinja“ (mimochodem skvělé jméno)