In questo advisory Aranzulla ha spiegato che la debolezza da lui scoperta può essere sfruttata per mascherare, nella barra di stato (o status bar) del browser, il vero indirizzo a cui punta un link.
Ma dai? E lui avrebbe scoperto questa cosa che esiste da quando esiste il javascript? Ma pensa VVoVe: