అప్‌డేట్: Apple దోపిడీని పరిష్కరించింది, క్రింది లింక్ వంశపారంపర్యంగా భద్రపరచబడింది కానీ ఇకపై అసాధారణంగా ఏదైనా ప్రదర్శించడానికి పని చేయదు.

కొన్ని వారాల క్రితం, Apple.comలో వారి iTunes సైట్‌తో క్రియాశీల XSS ఎక్స్‌ప్లోయిట్ ఉంది. సరే, Apple iTunes సైట్‌లో (ఈ సందర్భంలో UK) మళ్లీ కనుగొనబడిన అదే క్రాస్ సైట్ స్క్రిప్టింగ్ దోపిడీని ఒక టిప్‌స్టర్ మాకు పంపారు.తత్ఫలితంగా, Apple iTunes పేజీలో కొన్ని వినోదభరితమైన వైవిధ్యాలు కనిపిస్తాయి మరియు మళ్లీ కొన్ని చాలా భయపెట్టేవి, ఎగువ స్క్రీన్‌షాట్ వినియోగదారు పేరు మరియు పాస్‌వర్డ్ సమాచారాన్ని అంగీకరించే లాగిన్ పేజీని ప్రదర్శిస్తుంది, ఈ లాగిన్ డేటాను విదేశీ సర్వర్‌లో నిల్వ చేసి, ఆపై పంపుతుంది. మీరు Apple.comకి తిరిగి వెళ్ళు. మాకు పంపిన అత్యంత బాధించే వైవిధ్యం నా మెషీన్‌లో దాదాపు 100 కుక్కీలను నింపడానికి ప్రయత్నించింది, వాటిలో ప్రతిదానిలో పొందుపరిచిన ఫ్లాష్ ఫైల్‌లతో అంతులేని జావాస్క్రిప్ట్ పాప్-అప్‌లను ప్రారంభించింది మరియు దాదాపు 20 ఇతర ఐఫ్‌రేమ్‌లను ఐఫ్రేమ్ చేసింది, ఇవన్నీ నిజంగా భయంకరమైన సంగీతాన్ని ప్లే చేస్తున్నప్పుడు.

XSS సామర్థ్యం గల URL యొక్క సాపేక్షంగా హానిచేయని వైవిధ్యం ఇక్కడ ఉంది, ఇది Google.comని iframes:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

మీ స్వంత సంస్కరణను చేయడానికి ఎక్కువ శ్రమ పడదు. ఏది ఏమైనప్పటికీ, ఆపిల్ దీన్ని త్వరగా పరిష్కరిస్తుందని ఆశిద్దాం.

Tipster “WhaleNinja” ద్వారా పంపబడిన మరికొన్ని స్క్రీన్‌షాట్‌లు జోడించబడ్డాయి