עדכון: אפל תיקנה את הניצול, הקישור למטה נשמר לדורות הבאים אבל כבר לא עובד כדי להציג שום דבר חריג.

לפני כמה שבועות, היה XSS Exploit פעיל ב-Apple.com עם אתר ה-iTunes שלהם. ובכן, איש עצות שלח לנו בדיוק את אותו ניצול סקריפטים חוצה אתרים שנמצא שוב באתר אפל iTunes (בבריטניה במקרה זה).כתוצאה מכך, מופיעות כמה וריאציות משעשעות למדי של דף ה-iTunes של אפל, ושוב כמה מפחידות מאוד, שכן צילום המסך שלמעלה מדגים דף התחברות שמקבל מידע על שם משתמש וסיסמה, מאחסן את נתוני ההתחברות האלה בשרת זר, ואז שולח אתה חוזר אל Apple.com. הווריאציה המעצבנת ביותר שנשלחה אלינו ניסתה להכניס כ-100 עוגיות על המחשב שלי, יזמה לולאה אינסופית של חלונות קופצים של javascript עם קבצי פלאש משובצים בכל אחד מהם, ואייפגרה כ-20 iframes אחרים, והכל תוך השמעת מוזיקה ממש נוראית.

הנה וריאציה לא מזיקה יחסית של כתובת ה-URL המותאמת ל-XSS, היא iframes של Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

לא צריך הרבה מאמץ לעשות גרסה משלך. בכל מקרה, נקווה שאפל תתקן את זה מהר.

מצ"ב עוד כמה צילומי מסך של קישורים שנשלחו על ידי הטיפים "WhaleNinja" (שם נהדר אגב)