اپ ڈیٹ: ایپل نے استحصال کو ٹھیک کر دیا ہے، نیچے دیا گیا لنک نسل کے لیے محفوظ ہے لیکن اب کوئی غیر معمولی چیز ظاہر کرنے کے لیے کام نہیں کرتا ہے۔

چند ہفتے پہلے، Apple.com پر ان کی iTunes سائٹ کے ساتھ ایک فعال XSS Exploit موجود تھا۔ ٹھیک ہے، ایک ٹپسٹر نے ہمیں بالکل وہی کراس سائٹ اسکرپٹنگ ایکسپلائٹ بھیجا جو ایپل آئی ٹیونز سائٹ (اس معاملے میں برطانیہ) پر دوبارہ پایا گیا۔نتیجتاً، ایپل آئی ٹیونز کے صفحہ کی کچھ دلچسپ تغیرات ظاہر ہو رہی ہیں، اور پھر کچھ بہت ہی خوفناک، جیسا کہ اوپر والا اسکرین شاٹ ایک لاگ ان صفحہ کو ظاہر کرتا ہے جو صارف نام اور پاس ورڈ کی معلومات کو قبول کرتا ہے، اس لاگ ان ڈیٹا کو غیر ملکی سرور پر محفوظ کرتا ہے، پھر بھیجتا ہے۔ آپ Apple.com پر واپس جائیں۔ ہمیں بھیجے گئے انتہائی پریشان کن تغیرات نے میری مشین میں تقریباً 100 کوکیز بھرنے کی کوشش کی، ان میں سے ہر ایک میں ایمبیڈ کردہ فلیش فائلوں کے ساتھ جاوا اسکرپٹ پاپ اپس کا ایک نہ ختم ہونے والا لوپ شروع کیا، اور تقریباً 20 دیگر iframes کو iframed کیا، یہ سب کچھ واقعی خوفناک موسیقی بجانے کے دوران۔

یہ ہے XSS قابل URL کی نسبتاً بے ضرر تبدیلی، یہ iframes Google.com:

http://www.apple.com/uk/itunes/affiliates/download/?artistName=Apple%20%3Cbr/%3E%20%3Ciframe%20src=http%3A//www .google.com/%20width=600%20>

آپ کا اپنا ورژن بنانے میں زیادہ محنت نہیں کرنی پڑتی۔ بہر حال، آئیے امید کرتے ہیں کہ ایپل اسے جلد ٹھیک کر دے گا۔

ٹپسٹر "وہیل ننجا" (ویسے عظیم نام) کے ذریعے بھیجے گئے لنکس کے چند مزید اسکرین شاٹس منسلک ہیں