Oppdatering: Apple har fikset utnyttelsen!

Jeg ser for meg at dette løses relativt raskt, men du kan gjøre noen morsomme (og potensielt skumle) ting med Apple.coms iTunes-tilknyttede nettsteder bare ved å endre URL-parametrene. Den modifiserte Apple.com-URLen er laget som følger: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Klikk her for OSXDaily.com-versjonen av XSS-utnyttelsen på Apple.com – den er trygg, den viser bare det som er på skjermbildet ovenfor.

Du kan legge hva du vil i URL-en ved å endre tekst- og bildelenkene, noe som har ført til noen ekstremt morsomme hackede versjoner av Apples iTunes-nettsted. Andre brukere har ytterligere endret URL-en for å kunne inkludere andre nettsider, javascripts og flash-innhold via iFrames fra andre nettsteder, noe som åpner døren for alle slags problemer. På dette tidspunktet er det bare morsomt fordi ingen har brukt det til ondsinnede formål, men hvis hullet er åpent for lenge, ikke bli overrasket om noen gjør det. OS X Daily-leser Mark sendte dette tipset inn med en modifisert lenke som åpnet en rekke popup-vinduer og hadde en iframe som viste mindre enn velsmakende innhold, vist under det tilsynelatende (selv om det er hacket) Apple.com merkevarebygging, og det er akkurat den typen ting som må unngås. La oss håpe Apple fikser dette raskt.

Her er noen flere skjermbilder som viser hva URL-endringen i aksjon, bevart for ettertiden:

Her er en som tar Windows 7-vitsen enda lenger ved å sette inn en iframe med Microsoft-nettstedet i innholdet: