Atualização: A Apple corrigiu o exploit, o link abaixo é preservado para a posteridade, mas não funciona mais para exibir nada anormal.

Algumas semanas atrás, houve um XSS Exploit ativo em Apple.com com seu site iTunes. Bem, um informante nos enviou exatamente o mesmo exploit de cross site scripting encontrado novamente no site iTunes da Apple (Reino Unido neste caso).Como resultado, existem algumas variações bastante divertidas da página Apple iTunes aparecendo, e novamente algumas muito assustadoras, como a captura de tela acima demonstra uma página de login que aceita informações de nome de usuário e senha, armazena esses dados de login em um servidor externo e, em seguida, envia você de volta para Apple.com. A variação mais irritante enviada para nós tentou colocar cerca de 100 cookies em minha máquina, iniciou um loop infinito de pop-ups de javascript com arquivos Flash embutidos em cada um deles e iframed cerca de 20 outros iframes, enquanto tocava uma música realmente horrível.

Aqui está uma variação relativamente inofensiva do URL compatível com XSS, ele iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Não é preciso muito esforço para fazer sua própria versão. De qualquer forma, esperamos que a Apple corrija isso rapidamente.

Anexado estão mais alguns screenshots de links enviados pelo informante “WhaleNinja” (grande nome por sinal)