XSS ఎక్స్ప్లోయిట్ Apple iTunes సైట్లో కనుగొనబడింది... మళ్లీ
అప్డేట్: Apple దోపిడీని పరిష్కరించింది, క్రింది లింక్ వంశపారంపర్యంగా భద్రపరచబడింది కానీ ఇకపై అసాధారణంగా ఏదైనా ప్రదర్శించడానికి పని చేయదు.
కొన్ని వారాల క్రితం, Apple.comలో వారి iTunes సైట్తో క్రియాశీల XSS ఎక్స్ప్లోయిట్ ఉంది. సరే, Apple iTunes సైట్లో (ఈ సందర్భంలో UK) మళ్లీ కనుగొనబడిన అదే క్రాస్ సైట్ స్క్రిప్టింగ్ దోపిడీని ఒక టిప్స్టర్ మాకు పంపారు.తత్ఫలితంగా, Apple iTunes పేజీలో కొన్ని వినోదభరితమైన వైవిధ్యాలు కనిపిస్తాయి మరియు మళ్లీ కొన్ని చాలా భయపెట్టేవి, ఎగువ స్క్రీన్షాట్ వినియోగదారు పేరు మరియు పాస్వర్డ్ సమాచారాన్ని అంగీకరించే లాగిన్ పేజీని ప్రదర్శిస్తుంది, ఈ లాగిన్ డేటాను విదేశీ సర్వర్లో నిల్వ చేసి, ఆపై పంపుతుంది. మీరు Apple.comకి తిరిగి వెళ్ళు. మాకు పంపిన అత్యంత బాధించే వైవిధ్యం నా మెషీన్లో దాదాపు 100 కుక్కీలను నింపడానికి ప్రయత్నించింది, వాటిలో ప్రతిదానిలో పొందుపరిచిన ఫ్లాష్ ఫైల్లతో అంతులేని జావాస్క్రిప్ట్ పాప్-అప్లను ప్రారంభించింది మరియు దాదాపు 20 ఇతర ఐఫ్రేమ్లను ఐఫ్రేమ్ చేసింది, ఇవన్నీ నిజంగా భయంకరమైన సంగీతాన్ని ప్లే చేస్తున్నప్పుడు.
XSS సామర్థ్యం గల URL యొక్క సాపేక్షంగా హానిచేయని వైవిధ్యం ఇక్కడ ఉంది, ఇది Google.comని iframes:
http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>
మీ స్వంత సంస్కరణను చేయడానికి ఎక్కువ శ్రమ పడదు. ఏది ఏమైనప్పటికీ, ఆపిల్ దీన్ని త్వరగా పరిష్కరిస్తుందని ఆశిద్దాం.
Tipster “WhaleNinja” ద్వారా పంపబడిన మరికొన్ని స్క్రీన్షాట్లు జోడించబడ్డాయి