XSS Exploit trouvé sur le site Apple iTunes… encore

Mise à jour: Apple a corrigé l'exploit, le lien ci-dessous est conservé pour la postérité mais ne fonctionne plus pour afficher quelque chose d'anormal.

Il y a quelques semaines, il y avait un exploit XSS actif sur Apple.com avec leur site iTunes. Eh bien, un pronostiqueur nous a envoyé exactement le même exploit de script intersite retrouvé sur le site Apple iTunes (Royaume-Uni dans ce cas). En conséquence, il y a des variations plutôt amusantes de la page Apple iTunes qui apparaissent, et encore quelques-unes très effrayantes, car la capture d'écran ci-dessus montre une page de connexion qui accepte les informations de nom d'utilisateur et de mot de passe, stocke ces données de connexion sur un serveur étranger, puis envoie vous revenez à Apple.com. La variation la plus ennuyeuse qui nous a été envoyée a essayé de placer une centaine de cookies sur ma machine, a lancé une boucle sans fin de fenêtres contextuelles javascript avec des fichiers Flash intégrés dans chacun d'eux, et a encadré environ 20 autres iframes, tout en jouant de la musique vraiment horrible.

Voici une variante relativement inoffensive de l'URL compatible XSS, elle encadre Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www.google.com/%20width= 600% 20height = 200% 3E% 3C / iframe% 3E & thumbnailUrl = http% 3A // images.apple.com / home / images / promo_mac_ads_20091022.jpg & itmsUrl = http% 3A% 2F% 2Fitunes.apple.com% 2FWObjects% 2FMZStore.woa % 2Fwa% 2FviewAlbum% 3Fid% 3D330407877% 26s% 3D143444% 26ign-mscache% 3D1 & albumName = une% 20 grande ouverture% 20HTML% 20injection% 20hole

Il ne faut pas beaucoup d'efforts pour faire votre propre version. Quoi qu'il en soit, espérons que Apple corrige ce problème rapidement.

Ci-joint quelques captures d'écran supplémentaires de liens envoyés par le pronostiqueur «WhaleNinja» (grand nom d'ailleurs)