A Microsoft figyelmeztetőt adott ki, melyben egy XSS-re lehetőséget adó hibára hívja fel a figyelmet. A probléma lényege, hogy az MHTML protokollkezelőn keresztül lekérdezett weboldalakba akkor is elhelyezhetők rosszindulatú szkriptek, ha a weboldal egyébként megfelelően szűri a felhasználóktól érkező bemeneteket, ráadásul a Content-Type HTTP fejléc beállítása sem befolyásolja, hogy lefut-e a visszakapott kód.

Például tegyük fel, hogy sikerül a celpont.hu-n tartósan vagy ideiglenesen base64 vagy Quoted-Printbale kódolt üzenetet elhelyeznünk megfelelő MIME határolók közé! Ekkor készíthetünk egy weboldalt, amely az

<iframe src="mhtml:http://celpont.hu/...

vagy hasonló kódrészlettel hivatkozik a célpontra. Ha egy Internet Explorer felhasználó meglátogatja ezt az oldalt, a celpont.hu kontextusában lefut az előzőleg oda pakolt, kódolt szkriptünk, amely például eljuttathatja hozzánk a felhasználó celpont.hu-n érvényes sütijeit. 

Érdekes mellékszál, hogy néhányan a Google biztonsági csapatánál jelentették a hibát, mert a GWT mobil böngészésre optimalizáló szkriptje is támadható volt ilyen módon.

Ideiglenes megoldásként az itt megtalálható FixIt csomag telepítésével kockázatosnak jelölhető az MHTML protokoll, így az ezen keresztül érkező tartalmak csak megerősítés után értelmeződnek. 

Ha szolgáltatás-üzemeltetőként kívánjuk megvédeni a felhasználóinkat, szűrhetjük az újsor karaktereket a felhasználói bemenetekben, újsor karaktert szúrhatunk a HTTP válaszok elejére, vagy lecserélhetjük a HTTP státusz kódokat.