Atualização: A Apple corrigiu o exploit!

Imagino que isso será corrigido relativamente rápido, mas você pode fazer algumas coisas engraçadas (e potencialmente assustadoras) com os sites afiliados do iTunes da Apple.com apenas modificando os parâmetros de URL. O URL modificado de Apple.com é formado da seguinte forma: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Clique aqui para a versão OSXDaily.com do exploit XSS em Apple.com – é seguro, apenas exibe o que está na captura de tela acima.

Você pode colocar o que quiser na URL alterando os links de texto e imagem, o que levou a algumas versões hackeadas extremamente engraçadas do site iTunes da Apple. Outros usuários modificaram ainda mais o URL para poder incluir outras páginas da Web, javascripts e conteúdo em flash por meio de iFrames de outros sites, o que abre a porta para todos os tipos de problemas. Neste ponto é engraçado porque ninguém o usou para fins nefastos, mas se o buraco estiver aberto por muito tempo, não se surpreenda se alguém o fizer. O leitor do OS X Daily, Mark, enviou esta dica com um link modificado que abria uma série de janelas pop-up e tinha um iframe exibindo conteúdo menos do que saboroso, exibido sob a aparente (embora hackeada) Apple.com branding, e esse é exatamente o tipo de coisa que precisa ser evitada. Esperemos que a Apple corrija isso rapidamente.

Aqui estão mais algumas capturas de tela mostrando a modificação do URL em ação, preservadas para a posteridade:

Aqui está levando a piada do Windows 7 ainda mais longe, inserindo um iframe com o site da Microsoft no conteúdo: