Update: Apple hat den Exploit behoben!

Ich kann mir vorstellen, dass dies relativ schnell behoben wird, aber Sie können einige lustige (und möglicherweise beängstigende) Dinge mit den iTunes Affiliate-Sites von Apple.com anstellen, indem Sie einfach die URL-Parameter ändern. Die geänderte Apple.com-URL wird wie folgt gebildet: http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Klicken Sie hier für die OSXDaily.com-Version des XSS-Exploits auf Apple.com – es ist sicher, es zeigt nur das, was im obigen Screenshot zu sehen ist.

Sie können in die URL einfügen, was Sie wollen, indem Sie die Text- und Bildlinks ändern, was zu einigen extrem lustigen gehackten Versionen von Apples iTunes-Website geführt hat. Andere Benutzer haben die URL weiter modifiziert, um andere Webseiten, Javascripts und Flash-Inh alte über iFrames anderer Sites einbinden zu können, was allen möglichen Problemen Tür und Tor öffnet. An diesem Punkt ist es nur lustig, weil niemand es für schändliche Zwecke benutzt hat, aber wenn das Loch zu lange offen ist, wundern Sie sich nicht, wenn es jemand tut. OS X Daily-Leser Mark schickte diesen Tipp mit einem modifizierten Link, der eine Reihe von Popup-Fenstern öffnete und einen Iframe mit weniger als schmackhaftem Inh alt hatte, der unter dem offensichtlichen (wenn auch gehackten) Apple angezeigt wurde.com-Branding, und genau das gilt es zu vermeiden. Hoffen wir, dass Apple dies schnell behebt.

Hier sind einige weitere Screenshots, die zeigen, was die URL-Änderung in Aktion ist, die für die Nachwelt erh alten bleiben:

Hier ist einer, der den Windows 7-Witz noch weiterführt, indem er einen Iframe mit der Microsoft-Site in den Inh alt einfügt: