Apple İtunes Xss Vulnerability
Update: Apple heeft de exploit hersteld, de onderstaande link wordt bewaard voor het nageslacht maar werkt niet langer om iets abnormaals weer te geven.
Een paar weken geleden was er een actieve XSS Exploit op Apple.com met hun iTunes-site. Welnu, een tipgever stuurde ons exact dezelfde cross-site scripting-exploit die we terug vonden op de Apple iTunes-site (in dit geval VK). Als gevolg hiervan zijn er nogal grappige varianten van de Apple iTunes-pagina die verschijnen, en weer een paar heel angstaanjagende, omdat de bovenstaande screenshot een inlogpagina toont die gebruikersnaam- en wachtwoordinformatie accepteert, deze inloggegevens op een buitenlandse server opslaat en vervolgens verzendt je terug naar Apple.com. De meest irritante variatie die ons werd toegestuurd, probeerde ongeveer 100 cookies op mijn machine te stoppen, startte een eindeloze lus van javascript-pop-ups met Flash-bestanden ingebed in elk van hen, en iframed ongeveer 20 andere iframes, allemaal tijdens het spelen van een aantal echt vreselijke muziek.
Hier is een relatief onschadelijke variant van de URL die geschikt is voor XSS, het iframes Google.com:
http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www.google.com/%20width= 600% 20height = 200% 3E% 3C / iframe% 3E & thumbnailUrl = http% 3A // images.apple.com / home / images / promo_mac_ads_20091022.jpg & itmsUrl = http% 3A% 2F% 2Fitunes.apple.com% 2FWebObjects% 2FMZStore.woa % 2Fwa% 2FviewAlbum% 3Fid% 3D330407877% -26% 3D143444% 26ign-mscache% 3D1 & ALBUMNAME = a% 20wide open% 20HTML% 20injection% 20hole
Het kost niet veel moeite om je eigen versie te maken. Hoe dan ook, laten we hopen dat Apple dit snel oplost.
Bijgevoegd zijn nog een paar screenshots van links ingezonden door tipster "WhaleNinja" (geweldige naam trouwens)
Hoe een bedrijf van een mobiele app de XcodeGhost van Apple in de machine heeft gevonden
Een ontwikkelaar van mobiele apps had moeite om uit te zoeken waarom Apple zijn totdat de XcodeGhost-malware op een onwaarschijnlijke plaats werd verborgen.
Apple steekt plezier in geruchtenmolen: verwijzingen naar iPhone 11, iPad 10, Apple TV 10, enz., Gevonden in iOS 5.1 beta 2
Apple steekt plezier in Rumor Mill: verwijzingen naar iPhone 11, iPad 10, Apple TV 10, enz., Gevonden in iOS 5.1 beta 2