Xss-exploit gevonden op Apple iTunes-site ... alweer

Update: Apple heeft de exploit hersteld, de onderstaande link wordt bewaard voor het nageslacht maar werkt niet langer om iets abnormaals weer te geven.

Een paar weken geleden was er een actieve XSS Exploit op Apple.com met hun iTunes-site. Welnu, een tipgever stuurde ons exact dezelfde cross-site scripting-exploit die we terug vonden op de Apple iTunes-site (in dit geval VK). Als gevolg hiervan zijn er nogal grappige varianten van de Apple iTunes-pagina die verschijnen, en weer een paar heel angstaanjagende, omdat de bovenstaande screenshot een inlogpagina toont die gebruikersnaam- en wachtwoordinformatie accepteert, deze inloggegevens op een buitenlandse server opslaat en vervolgens verzendt je terug naar Apple.com. De meest irritante variatie die ons werd toegestuurd, probeerde ongeveer 100 cookies op mijn machine te stoppen, startte een eindeloze lus van javascript-pop-ups met Flash-bestanden ingebed in elk van hen, en iframed ongeveer 20 andere iframes, allemaal tijdens het spelen van een aantal echt vreselijke muziek.

Hier is een relatief onschadelijke variant van de URL die geschikt is voor XSS, het iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www.google.com/%20width= 600% 20height = 200% 3E% 3C / iframe% 3E & thumbnailUrl = http% 3A // images.apple.com / home / images / promo_mac_ads_20091022.jpg & itmsUrl = http% 3A% 2F% 2Fitunes.apple.com% 2FWebObjects% 2FMZStore.woa % 2Fwa% 2FviewAlbum% 3Fid% 3D330407877% -26% 3D143444% 26ign-mscache% 3D1 & ALBUMNAME = a% 20wide open% 20HTML% 20injection% 20hole

Het kost niet veel moeite om je eigen versie te maken. Hoe dan ook, laten we hopen dat Apple dit snel oplost.

Bijgevoegd zijn nog een paar screenshots van links ingezonden door tipster "WhaleNinja" (geweldige naam trouwens)