ВКонтакте.ру обнаружена XSS-уязвимость

В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость. Она заключается в том, что в исходный код флэшки можно внедрить javascript, который при прямом доступе к флэшке исполнится, как и в IE, так и в [URL="http://www.securitylab.ru/software/267491.php"][COLOR=#0000ff]Firefox[/COLOR][/URL]'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем.
Когда флэшка сохранилась в кэше браузера, то она может открыть новое окно с ссылкой на себя, браузер ее загрузит из кэша - и javascript выполнится.
Единственное, что спасает, - это блокировщик всплывающих окон. Но обычные пользователи, видя, что открывает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6 и FF3RC1.
Пример атаки:
[URL="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fvkontakte.ru%2Fapps.php%3Fact%3Ds%26amp%3Bid%3D151392"][COLOR=#0000ff]http://vkontakte.ru/apps.php?act=s&id=15…[/COLOR][/URL] (новое окно открывается через 2 секунды)

[URL="http://www.securitylab.ru/news/354350.php"]securitylab.ru[/URL]

)) Открывается новое окно, при его разблокировке запускается менеджер закачек)

[quote=ALEX(XX);237185]В популярной социальной сети ВКонтакте.ру, в сервисе Приложения обнаружена XSS-уязвимость...[/quote]-этот ресурс вообще одна сплошная уязвимость и кладезь адресных баз для спамеров, IMHO разумеется... :)