Вот такая вот фигня у меня вчера приключилась с хромом...

В сухом остатке, мы имеем на руках:

— отраженную HTML-injection, позволяющую через специально-сформированную ссылку внедрить в контент уязвимого сайта как произвольный javascript (что является риском даже безотносительно домена, в котором выполняется скрипт, вообще-то), так и произвольный binary-контент, например, pdf/swf/doc с эксплоитом очередной уязвимости обработчиков этих форматов;
— отказ разработчиков браузера фиксить эту уязвимость;

Последние несколько дней я весьма плотно тестил браузеры в конфигурации "из-коробки" на предмет их устойчивости к TOP10 угрозам. И весьма обидно, что если бы не эта дырочка и последовавший ответ разработчиков, то рейтинг браузеров по результатам этих скромных тестов выглядел бы так (в порядке убывания безопасности):

1. Chrome
2. IE8
3. Firefox
4. Safari
5. Opera

А теперь — даже не знаю