エフセキュアブログにちょうどXSSという記事が出ていますね。
記事では f-secure.com におけるXSSを話題にしていますが、f-secure.jp でもXSSがあり、ちょうど先日修正が完了しました。エフセキュアブログでは、ブログ内を検索したときに検索文字列を含むJavaScript文字列を生成していますが、このときのエスケープが不十分であったため、XSSが発生していました。

• 2010年1月4日 届け出
• 2010年1月25日 修正完了との連絡。修正が不十分であり依然としてXSS可能であったためその旨を返答
• 2010年4月1日 修正完了との連絡。修正が不十分であり依然としてXSS可能であったためその旨を返答
• 2010年6月18日 修正完了との連絡。

この件に限りませんが、HTMLに混在しているJavaScriptの文字列を動的に生成する場合にXSSが発生するという例は多いですね！
(追記)
id:masatokinugawa さんから「それ、エフセキュアじゃなくライブドアだよ」的なコメントをもらいました。