Uppdatering: Apple har fixat exploateringen, länken nedan är bevarad för eftervärlden men fungerar inte längre för att visa något onorm alt.

För några veckor sedan fanns det en aktiv XSS Exploit på Apple.com med deras iTunes-webbplats. Nåväl, en tipsare skickade oss exakt samma skriptexploatering som hittades igen på Apples iTunes-webbplats (Storbritannien i det här fallet).Som ett resultat av detta dyker det upp några ganska underhållande varianter av Apple iTunes-sidan, och återigen några mycket skrämmande, eftersom skärmdumpen ovan visar en inloggningssida som accepterar användarnamn och lösenordsinformation, lagrar dessa inloggningsdata på en främmande server och sedan skickar du tillbaka till Apple.com. Den mest irriterande varianten som skickades till oss försökte stoppa in cirka 100 cookies på min dator, startade en oändlig loop av javascript-popup-fönster med Flash-filer inbäddade i var och en av dem och iframade cirka 20 andra iframes, allt samtidigt som jag spelade riktigt hemsk musik.

Här är en relativt ofarlig variant av den XSS-kapabla webbadressen, den iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Det tar inte mycket ansträngning att göra din egen version. Hur som helst, låt oss hoppas att Apple fixar detta snabbt.

Bifogade några fler skärmdumpar av länkar som skickats in av tipsaren "WhaleNinja" (bra namn förresten)