Uppdatering: Apple har fixat exploateringen!

Jag antar att detta kommer att fixas relativt snabbt, men du kan göra några roliga (och potentiellt läskiga) saker med Apple.com:s iTunes Affiliate-webbplatser bara genom att ändra URL-parametrarna. Den modifierade Apple.com-URL:n är utformad enligt följande: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Klicka här för OSXDaily.com-versionen av XSS-exploatet på Apple.com – det är säkert, det visar bara vad som finns i skärmdumpen ovan.

Du kan lägga vad du vill i URL:en genom att ändra text- och bildlänkarna, vilket har lett till några extremt roliga hackade versioner av Apples iTunes-webbplats. Andra användare har ytterligare modifierat webbadressen för att kunna inkludera andra webbsidor, javascript och flash-innehåll via iFrames på andra webbplatser, vilket öppnar dörren för alla möjliga problem. Vid det här laget är det bara roligt eftersom ingen har använt det för otrevliga syften, men om hålet är öppet för länge, bli inte förvånad om någon gör det. OS X Daily-läsaren Mark skickade in detta tips med en modifierad länk som öppnade en serie popup-fönster och hade en iframe som visade mindre än välsmakande innehåll, som visas under det uppenbara (även om det är hackat) Apple.com branding, och det är precis sånt som måste undvikas. Låt oss hoppas att Apple fixar detta snabbt.

Här är några fler skärmdumpar som visar hur URL-ändringen fungerar, bevarad för eftervärlden:

Här är en som tar Windows 7-skämtet ännu längre genom att infoga en iframe med Microsofts webbplats i innehållet: