Update: Apple heeft de exploit verholpen!

Ik kan me voorstellen dat dit relatief snel zal worden opgelost, maar je kunt een aantal grappige (en mogelijk enge) dingen doen met Apple.com's iTunes Affiliate-sites door de URL-parameters te wijzigen. De gewijzigde URL van Apple.com wordt als volgt gevormd: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Klik hier voor de OSXDaily.com-versie van de XSS-exploit op Apple.com – het is veilig, het geeft alleen weer wat er in de bovenstaande schermafbeelding staat.

Je kunt alles wat je wilt in de URL zetten door de tekst- en afbeeldingslinks te wijzigen, wat heeft geleid tot een aantal buitengewoon grappige gehackte versies van de iTunes-website van Apple. Andere gebruikers hebben de URL verder aangepast om andere webpagina's, javascripts en flash-inhoud via iFrames van andere sites te kunnen opnemen, wat de deur opent voor allerlei problemen. Op dit moment is het alleen maar grappig omdat niemand het voor snode doeleinden heeft gebruikt, maar als het gat te lang open is, wees dan niet verbaasd als iemand dat wel doet. OS X Daily-lezer Mark stuurde deze tip met een aangepaste link die een reeks pop-upvensters opende en een iframe had met minder dan smakelijke inhoud, weergegeven onder de schijnbare (hoewel gehackte) Apple.com-branding, en dat is precies het soort ding dat moet worden vermeden. Laten we hopen dat Apple dit snel oplost.

Hier zijn nog enkele screenshots die laten zien wat de URL-wijziging in actie is, bewaard voor het nageslacht:

Hier is er een die de Windows 7-grap nog verder uitdiept door een iframe met de Microsoft-site in de inhoud in te voegen: