Update: Apple heeft de exploit gerepareerd, de onderstaande link is bewaard voor het nageslacht, maar werkt niet langer om iets abnormaals weer te geven.

Een paar weken geleden was er een actieve XSS-exploit op Apple.com met hun iTunes-site. Welnu, een tipgever stuurde ons exact dezelfde cross-site scripting-exploit die we ook op de Apple iTunes-site vonden (in dit geval VK).Het resultaat is dat er enkele nogal grappige variaties op de Apple iTunes-pagina verschijnen, en weer enkele zeer angstaanjagende, zoals de bovenstaande schermafbeelding een inlogpagina laat zien die gebruikersnaam- en wachtwoordinformatie accepteert, deze inloggegevens opslaat op een buitenlandse server en vervolgens verstuurt u terug naar Apple.com. De meest irritante variatie die naar ons werd gestuurd, probeerde ongeveer 100 cookies op mijn machine te proppen, startte een eindeloze lus van javascript-pop-ups met Flash-bestanden die in elk daarvan waren ingebed, en iframede ongeveer 20 andere iframes, en dat alles terwijl er echt vreselijke muziek werd afgespeeld.

Hier is een relatief onschuldige variant van de XSS-compatibele URL, deze iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Het kost niet veel moeite om je eigen versie te maken. Hoe dan ook, laten we hopen dat Apple dit snel oplost.

Bijgevoegd zijn nog een paar screenshots van links ingestuurd door tipgever "WhaleNinja" (geweldige naam trouwens)