Egy eddig foltozatlan, Internet Explorer 6 és 7 típusú böngészőket érintő sebezhetőség látott napvilágot tegnap a Bugtraq listán. A probléma speciális STYLE tagek getElementsByTagName() segítségével történő feldolgozásakor jelentkezik.  A hiba böngészőn keresztüli távoli kódfuttatásra ad lehetőséget, ezért érdemes legalább a hivatalos folt megjelenéséig más böngészőre váltani.

Ja, és majdnem elfelejtettem a legviccesebbet: Az IE8 XSS szűrője a hírek szerint alkalmas arra, hogy XSS-t idézzen elő, akár egyébként rendes szűréssel megáldott webalkalmazásokban is. A probléma ott van, hogy a szűrő veszélyes tartalom érzékelésekor megváltoztatja megjelenítendő HTML kódot, ez a transzformáció pedig lehetővé teszi olyan tartalmak összeállítását, melyet maga a böngésző fog veszélyes, kliens oldali szkriptté alakítani. A NoScript ezzel szemben nem a HTTP választ, hanem a kérést módosítja, így ezt a plugint nem fenyegeti ilyen veszély.