Hay una vulnerabilidad de cross-site scripting en el sitio web de la Apple Store. La vulnerabilidad expone a los visitantes a un ataque potencial. Ésta fue descubierta por un investigador de seguridad alemán que, a mediados de mayo, dijo informar a Apple sobre el problema, pero la vulnerabilidad continúa presente.

La vulnerabilidad del XSS radica en store.apple.com y, el investigador, Stefan Schurtz, dijo haberla probado en varias versiones de los navegadores, incluyendo Internet Explorer 8 y 10, así como Google Chrome 27. Schurtz proporcionó pruebas de concepto del código explotado para la vulnerabilidad en su consulta, la cual publicó en la lista de correo Full Disclosure.

Schurtz dijo que, el 12 de mayo, contactó a Apple para lo de la vulnerabilidad y el vendedor respondió al día siguiente. Entonces, volvió a contactar a Apple por segunda ocasión el 29 de mayo con una pregunta sobre el estado de la consulta, de nuevo recibió una respuesta más tarde el mismo día.

Sin embargo, después de 4 semanas, Schurtz decidió liberar la consultoría el 7 de junio, sin una resolución para la vulnerabilidad.

Schurtz dijo que el bug es una vulnerabilidad DOM-based XSS que afecta a los visitantes de la página principal de Apple Store. Este tipo de vulnerabilidades envuelve a modificaciones de ambiente en el navegador de la víctima. Muchos otros exploits de XSS involucran modificar la respuesta del servidor web para explotar la vulnerabilidad.