更新： Apple 已修复该漏洞，以下链接为后代保留，但不再显示任何异常。

几周前，Apple.com 上存在一个活跃的 XSS 漏洞 与他们的 iTunes 网站。好吧，一位线人向我们发送了在 Apple iTunes 网站（在本例中为英国）上再次发现的完全相同的跨站点脚本攻击。结果，出现了一些相当有趣的 Apple iTunes 页面变体，也出现了一些非常可怕的变体，如上面的屏幕截图所示，登录页面接受用户名和密码信息，将此登录数据存储在外部服务器上，然后发送你回到 Apple.com。发送给我们的最烦人的变体试图将大约 100 个 cookie 塞到我的机器上，启动一个无限循环的 javascript 弹出窗口，每个弹出窗口中都嵌入了 Flash 文件，并在播放一些非常糟糕的音乐的同时对大约 20 个其他 iframe 进行了 iframed。

这是支持 XSS 的 URL 的一个相对无害的变体，它是 Google.com 的 iframes：

http://www.apple.com/英国/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www.google.com/%20width=600%20height=200%3E%3C/ iframe％3e＆thumbnailurl = http％3A // images.apple.com/home/promo_mac_ads_20091022.jpg＆itmsurl = http％3A％2f％2fitunes.apple.com％apple.com％2fwebobjects％2fwebobjects％2fwebobjects％2FMZSTORE.WOABBBBBBING％2fiew 7％26S %3D143444%26ign-mscache%3D1&albumName=a%20wide-open%20HTML%20injection%20hole

做自己的版本并不需要太多的努力。不管怎样，我们希望 Apple 能尽快解决这个问题。

附件是提示者“WhaleNinja”（顺便说一句好名字）发送的链接的更多截图

<