UTF-7
Das Problem entsteht dabei laut Esser bei Webseiten, die ihr Character-Encoding nicht definieren. So ließe sich etwa bei einem Weblog ein Kommentar verfassen, der als UTF-7 kodierten XSS-Code beinhaltet und so sensible Daten ausspionieren kann.
Keine Reaktion
Auch wenn Esser selbst das Risiko durch die Lücke als "Low" angibt, so spart er nicht mit Kritik an den diversen Browserherstellern. So habe Microsoft auf seinen vor mehreren Monaten getätigten Fehlerbericht lediglich mit dem Vorwurf reagiert, dass er die Lücke vorzeitig bekannt gemacht habe. Seitdem herrsche Funkstille. Opera habe gar gleich von Anfang in keinster Weise reagiert.
Phishing
Zusätzlich zu dieser Lücke wurde in den letzten Tagen noch ein weiteres Problem im IE7 bekannt: Der auch für die aktuellen Bug-Berichte im Zusammenhang mit dem Firefox bekannte Michal Zalewski warnt vor möglichen Phishing-Attacken.
Bug