Auch die neu eingeführten EV-SSL-Zertifikate können offenbar nicht verhindern, daß durch eine Cross-Site-Scripting-Lücke in der Internetseite der Online Bank Angreifer die Log-in-Daten an fremde Server schicken und möglicherweise auch Cookies stehlen, ohne daß der Anwender es bemerkt.
Es scheint nicht vollkommen geklärt, ob die Lücke vollständig geschlossen werden konnte.

Weiter unter :

http://www.heise.de/newsticker/Cross-Site-Scripting-Luecke-in-Paypal-Seite--/meldung/108052