Mise à jour : Apple a corrigé l'exploit !

J'imagine que cela sera corrigé assez rapidement, mais vous pouvez faire des choses amusantes (et potentiellement effrayantes) avec les sites affiliés iTunes d'Apple.com simplement en modifiant les paramètres d'URL. L'URL Apple.com modifiée se présente comme suit : http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Cliquez ici pour la version OSXDaily.com de l'exploit XSS sur Apple.com - c'est sûr, il affiche juste ce qu'il y a dans la capture d'écran ci-dessus.

Vous pouvez mettre ce que vous voulez dans l'URL en modifiant les liens de texte et d'image, ce qui a conduit à des versions piratées extrêmement amusantes du site Web iTunes d'Apple. D'autres utilisateurs ont encore modifié l'URL pour pouvoir inclure d'autres pages Web, des javascripts et du contenu flash via des iFrames d'autres sites, ce qui ouvre la porte à toutes sortes de problèmes. À ce stade, c'est seulement drôle parce que personne ne l'a utilisé à des fins néfastes, mais si le trou est ouvert trop longtemps, ne soyez pas surpris si quelqu'un le fait. Le lecteur d'OS X Daily, Mark, a envoyé cette astuce avec un lien modifié qui ouvrait une série de fenêtres contextuelles et avait un iframe affichant un contenu moins que savoureux, affiché sous l'apparente (bien que piratée) Apple.com branding, et c'est exactement le genre de chose qu'il faut éviter. Espérons qu'Apple corrige ce problème rapidement.

Voici quelques captures d'écran supplémentaires montrant ce qu'est la modification d'URL en action, conservée pour la postérité :

En voici un qui va encore plus loin dans la blague de Windows 7 en insérant un iframe avec le site Microsoft dans le contenu :