wie ich festgestellt habe, kann man durch einen manipulierten link beliebigen html-code ausführen lassen.
dies geht z.b. bei bildlinks so:
http://www.asd"
asd.de/jpg.jpg
als hotfix hab ich ma bei mir
ids = ids.replace(/<(.|\n)*?>/g, '');
in die picturearea-, mausdrauf- und swfareafunktionen eingebaut (natürlich an den richtigen stellen

)
sowie in die screenbildersteller-funktion
link = link.replace(/<(.|\n)*?>/g, '');
damit werden dann jegliche html-tags aus den links entfernt.
eventuell gibt es noch eine bessere stellen um diese zu entfernen (oder eine weiter stelle wo sie entfernt werden sollen), hab mich nur kurz in den scripten umgeguckt. aus allen nachrichten will man natürlich nicht die tags entfernen^^
bei video-links habe ich es noch nicht geschaft, html-code reinzuschreiben, vllt. einfach zu spät am abend...
mfg Molty