Nicholas Lemonias, un chercheur en sécurité, a découvert une faille XSS dans le service MSN de Microsoft. Exploitée, elle permettrait à un pirate d'exécuter des programmes en local depuis un navigateur web via l'URI (Uniform Ressource Identifier) dont la fonction principale est d'identifier une ressource de manière permanente, même si la ressource est déplacée ou supprimée.

Pour ce faire, il faut utiliser la méthode JavaScript String fromCharCode qui convertit des valeurs de caractères Unicode en chaine de caractères. Une méthode prise en charge dans Quirks, Internet Explorer 6 à 11 (mode normes), Internet Explorer 7 (mode normes), Internet Explorer 8 (mode normes), mais aussi dans les applications du Store de Microsoft (Windows 8 et Windows Phone 8.1).