Winnyの1.07以前のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。Winnyは掲示板機能を提供するためにHTTPサーバ機能を持っている。Internet Explorerで特定のURLを表示すると、そのページのセキュリティゾーンが「イントラネットゾーン」となる。そのため、悪意ある者が仕掛けたURLへのリンクをクリックしてしまうと、「悪意あるHTML」がイントラネットゾーンのセキュリティレベルで実行されてしまう。セキュリティホールmemoMLWinnyにクロスサイトスクリプティング脆弱性任意のHTMLがイントラネットゾーンのセキュリティレベルで実行される危険性http://memo.st.ryukoku.ac.jp/archive/200302.month/5410.html
