Update: Naayos na ng Apple ang pagsasamantala, ang link sa ibaba ay pinapanatili para sa mga susunod na henerasyon ngunit hindi na gumagana upang magpakita ng anumang abnormal.

Ilang linggo ang nakalipas, nagkaroon ng aktibong XSS Exploit sa Apple.com sa kanilang iTunes site. Well, ipinadala sa amin ng isang tipster ang eksaktong parehong cross site scripting exploit na natagpuan muli sa Apple iTunes site (UK sa kasong ito).Bilang resulta, mayroong ilang medyo nakakaaliw na mga pagkakaiba-iba ng pahina ng Apple iTunes na lumilitaw, at muli ang ilang mga nakakatakot, dahil ang screenshot sa itaas ay nagpapakita ng isang pahina sa pag-login na tumatanggap ng impormasyon ng username at password, nag-iimbak ng data sa pag-login na ito sa isang dayuhang server, pagkatapos ay nagpapadala bumalik ka sa Apple.com. Ang pinakanakakainis na variation na ipinadala sa amin ay sinubukang maglagay ng humigit-kumulang 100 cookies sa aking makina, nagpasimula ng walang katapusang loop ng mga javascript pop-up na may mga Flash file na naka-embed sa bawat isa sa kanila, at nag-iframe ng humigit-kumulang 20 iba pang iframe, lahat habang nagpe-play ng ilang talagang nakakatakot na musika.

Narito ang medyo hindi nakakapinsalang variation ng URL na may kakayahang XSS, iframes nito ang Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Hindi nangangailangan ng maraming pagsisikap upang gawin ang iyong sariling bersyon. Anyway, sana ay maayos ito ng Apple nang mabilis.

Nakalakip ang ilan pang screenshot ng mga link na ipinadala ng tipster na “WhaleNinja” (magandang pangalan pala)