知らなかったんですが、MS07-040で風用な変更が入っています。
http://support.microsoft.com/kb/931212
http://support.microsoft.com/kb/940521
要は無効なデータを削除するんじゃなくって、U+FFFDに置きき換えるように変更したよということです。
個の件KBにも書かれていますが、セキュリティを確保するのにエイジングなどを行う際に、削除するだけだと副作用が発生し得ます。
副作用を発生させないようにするためには、何か安全な物に置き換えることが肝要です。
スクリプトタグを殺すのに<script>を削除するロジックだと<scr<script>ipt>は防げなくなると言う事と同じですね。