No se porque la afición de llamar HTML Injection a todo..

Esto sería una vulnerabilidad de XOS (Cross Origin Scripting).. y aunque no haya podido ejecutar nada de JS, se pueden buscar por vulnerabilidades en WebKit.

Es raro que Google no haya pedido al descubridor que no revelara la información hasta que estuviera arreglado..

Saludos!!

Se refiere a los mensajes que estan en la conversación supongo.. porque afaik el historial no se guarda de forma local fuera de memoria ram..