Airpods

iTunesサイトでApple.comのXSSエクスプロイトが発見される

osxdaily アップル

更新: Apple がこの脆弱性を修正しました。

これは比較的すぐに修正されると思いますが、Apple.comのiTunesアフィリエイトサイトでは、URLパラメータを変更するだけで面白い（そして恐ろしいかもしれない）ことが起こり得ます。変更後のApple.comのURLは以下のようになります。
http://www.apple.com/itunes/affiliates/download/?artistName=OSXDaily.com&thumbnailUrl=https://cdn.osxdaily.com/wp-content/themes/osxdaily-leftalign/img/osxdailylogo2.jpg&itmsUrl=https://osxdaily.com&albumName=Best+Mac+Blog+Ever

Apple.com の XSS エクスプロイトの OSXDaily.com バージョンについては、ここをクリックしてください。これは安全で、上記のスクリーンショットにある内容が表示されるだけです。

テキストや画像のリンクを変更することで、URL に何でも入れることができるため、Apple の iTunes Web サイトの非常に面白いハッキング版がいくつか作成されています。他のユーザーは、URL をさらに変更して、他のサイトの iFrame を介して他の Web ページ、JavaScript、および Flash コンテンツを含めることができるようにしましたが、これはあらゆる種類の問題の扉を開いています。現時点では、誰もこれを悪用していないので面白いだけですが、この穴が長期間開いたままであれば、誰かが使用しても驚かないでください。OS X Daily の読者である Mark がこのヒントを送信し、一連のポップアップウィンドウを開き、明らかに (ハッキングされていますが) Apple.com ブランドの下に、好ましくないコンテンツを表示する iframe を含む変更されたリンクを送信しました。これはまさに避けなければならない類のことです。Apple がこれを迅速に修正することを期待しましょう。

以下に、URL 変更の実際の様子を示すスクリーンショットをいくつか示します。後世のために保存しておきます。

ウィンドウズ7 アップル

以下は、コンテンツに Microsoft サイトの iframe を挿入することで、Windows 7 ジョークをさらに推し進めた例です。
iframe アップル

[ Reddit 経由で見つけた読者の投稿: Apple XSS エクスプロイト – ありがとう、マーク! ]

iTunesサイトでApple.comのXSSエクスプロイトが発見される

You May Have Missed

AT&TでiPhoneのデータ使用量を確認する

Mac OS XでTime Machineバックアップからファイルやフォルダを削除する方法

OS X Yosemite GM 3.0 が開発者向けにリリースされました

iPhoneのSafariを空白ページで起動を高速化する

iOS 10：「スライドしてロック解除」はどこ？iOS 10で「ホームボタンを押してロック解除」を無効にする方法

macOS Tahoe 26 ベータ 2 のダウンロードが開始しました

マイクロソフトが新しいリモートデスクトップクライアントをリリース

You may also like...

Popular Posts

You May Have Missed