Javascriptではなくリンクをハイジャックできる脆弱性だそうです。OWASP NYC AppSec 2008カンファレンスで発表される予定だったが、あまりにも影響がでかくて中止されたそうです。

一言で言えば、悪意のあるウェブサイトに訪れた際、攻撃者はブラウザ上のリンクをコントロールできるというものだ。この問題は、lynxなどを除いて、ほぼすべてのブラウザに影響がある。この問題はJavaScriptとは関係がないため、JavaScriptをオフにしても問題は解決しない。これは、ブラウザの動作する仕組みに関わる根本的な欠陥で、簡単なパッチでは修正することができない。この攻撃方法を使った場合、ユーザーが悪意のあるウェブページを訪れると、攻撃者はそのページ上のあらゆるリンク、ボタン、その他あらゆるものをユーザーには見せないままクリックすることができる。

クリックジャッキング：研究者が複数のブラウザに対する新たな脅威について警告 - ZDNet Japan

OSSが先に対応しても、公開したら影響を発表するのと同じことになるので中間団体が管理しないといけませんね。