Mise à jour : Apple a corrigé l'exploit, le lien ci-dessous est conservé pour la postérité mais ne fonctionne plus pour afficher quoi que ce soit d'anormal.

Il y a quelques semaines, il y avait un exploit XSS actif sur Apple.com avec leur site iTunes. Eh bien, un pronostiqueur nous a envoyé exactement le même exploit de script intersite trouvé sur le site iTunes d'Apple (Royaume-Uni dans ce cas).En conséquence, certaines variantes plutôt amusantes de la page Apple iTunes apparaissent, et encore d'autres très effrayantes, car la capture d'écran ci-dessus montre une page de connexion qui accepte les informations de nom d'utilisateur et de mot de passe, stocke ces données de connexion sur un serveur étranger, puis envoie vous revenez sur Apple.com. La variante la plus ennuyeuse qui nous a été envoyée a essayé de mettre environ 100 cookies sur ma machine, a lancé une boucle sans fin de pop-ups javascript avec des fichiers Flash intégrés dans chacun d'eux, et a créé une vingtaine d'autres iframes, tout en jouant de la musique vraiment horrible.

Voici une variante relativement inoffensive de l'URL compatible XSS, elle encadré Google.com :

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

Créer sa propre version ne demande pas beaucoup d'efforts. Quoi qu'il en soit, espérons qu'Apple résoudra ce problème rapidement.

Vous trouverez ci-joint quelques captures d'écran supplémentaires de liens envoyées par le pronostiqueur "WhaleNinja" (superbe nom au passage)