Ja denn die Leute die einem was böses wollen haben auch geniale Programmierer die entsprechendde Schadsoftware in Websites per Java Script einprogrammieren die dann im Hintergrund umbemerkt laufen.
Kommt auf die Seite an, aber grundsätzlich JA
Ja das ist leider möglich...
Ja. Das Gleiche gilt auch für das öffnen von HTML Emails. Beispiel sind Cookies vom Browser abziehen oder bei Firefox und Co. über Lücken auf die Passworttresordatei zuzugreifen etc.
Das passt genau dazu: https://www.heise.de/security/meldung/Patchday-Excel-Luecke-spaltet-Microsoft-und-Sicherheitsforscher-3890381.html Sicherheitsupdate von MS für Browser Edge!