Actualización: Apple ha reparado el exploit, el siguiente enlace se conserva para la posteridad pero ya no funciona para mostrar nada anormal.

Hace algunas semanas, hubo un XSS Exploit activo en Apple.com con su sitio de iTunes. Bueno, un informador nos envió exactamente el mismo exploit de secuencias de comandos entre sitios que se encontró nuevamente en el sitio de iTunes de Apple (Reino Unido en este caso).Como resultado, aparecen algunas variaciones bastante divertidas de la página de iTunes de Apple, y nuevamente algunas muy aterradoras, ya que la captura de pantalla anterior muestra una página de inicio de sesión que acepta información de nombre de usuario y contraseña, almacena estos datos de inicio de sesión en un servidor externo y luego envía vuelves a Apple.com. La variación más molesta que nos enviaron fue meter alrededor de 100 cookies en mi máquina, inició un ciclo interminable de ventanas emergentes de javascript con archivos Flash incrustados en cada una de ellas, e iframed alrededor de otros 20 iframes, todo mientras reproducía música realmente horrible.

Aquí hay una variación relativamente inofensiva de la URL compatible con XSS, iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

No se necesita mucho esfuerzo para hacer su propia versión. De todos modos, esperemos que Apple arregle esto rápido.

Se adjuntan algunas capturas de pantalla más de los enlaces enviados por el informador "WhaleNinja" (excelente nombre, por cierto)