Apple.com XSS Exploit se encontró en el sitio de iTunes
Actualizar: ¡Apple reparó la operación!
Me imagino que esto funcionará relativamente rápido, pero puede hacer algunas cosas divertidas (y potencialmente aterradoras) con los sitios afiliados de iTunes de Apple.com simplemente cambiando los parámetros de URL. La URL de Apple.com modificada tiene el siguiente formato:http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever
Haga clic aquí para obtener la versión OSXDaily.com de XSS en Apple.com; seguro, solo muestra lo que está en la captura de pantalla anterior.
Puede poner lo que quiera en la URL cambiando los enlaces de texto e imagen, lo que ha llevado a algunas versiones extremadamente divertidas del sitio iTunes de Apple. Otros usuarios han cambiado aún más su URL para incluir otras páginas web, javascripts y contenido flash a través de iFrames de otros sitios, lo que abre la puerta a todo tipo de problemas. Por el momento es gracioso, porque nadie lo usó para malos propósitos, pero si el agujero está abierto demasiado tiempo, no se sorprenda si alguien lo hace. El lector OS X Daily Mark envió este consejo con un enlace modificado que abrió una serie de ventanas emergentes y tenía un iframe que mostraba contenido menos que salado, mostrado bajo la marca Apple.com aparente (aunque pirateada) y este es exactamente el tipo que debería ser evitado. Con suerte, Apple solucionará esto rápidamente.
Aquí hay algunas otras capturas de pantalla que muestran qué cambiar la URL en acción, guardadas para la posteridad:
Aquí hay uno que lleva la broma de Windows 7 más allá al insertar un iframe con el sitio de Microsoft en su contenido:
[ Reader submission found via Reddit: Apple XSS Exploit – Thanks Mark! ]