Jak na firmowym blogu dowodzi Mike Bailey, błąd dotyczy zasady identycznego pochodzenia (ang. same-origin policy), zgodnie z którą potencjalnie niebezpieczne obiekty pochodzące z innej strony, niż aktualnie wyświetlona, zostaną zablokowane. Aby ominąć to zabezpieczenie, wystarczy skorzystać z formularza pozwalającego na dodawanie plików - projektanci aplikacji sieciowych umożliwiają zwykle umieszczenie ich w oryginalnej domenie.

Według ekspertów z Foreground Security zagrożenie jest naprawdę poważne. Wyobraźmy sobie następującą sytuację: twórca złośliwego obiektu Flash rejestruje się na forum i przesyła go na serwer jako swój avatar. Każdy, kto wyświetli ten obiekt w przeglądarce, stanie się celem ataku.

Czy można jednak za to winić Adobe? Faktem jest, że oprogramowanie tej firmy zaczyna przodować w liczbie wykrywanych błędów, co potwierdzają kwartalne raporty F-Secure. Pod koniec lipca Dziennik Internautów ostrzegał przed plikami PDF ze szkodliwą zawartością Flash. W omawianym przypadku żądanie załatania luki zdaje się jednak nie mieć sensu.

Jak w wypowiedzi dla serwisu Computerworld podkreślił Brad Arkin, dyrektor ds. bezpieczeństwa produktów Adobe, problem występuje na stronach obsługujących aktywne skrypty powstałe nie tylko w technologii Flash, to samo dotyczy JavaScriptu i Silverlighta. Jego zdaniem najskuteczniejszym sposobem wyeliminowania luki jest poinformowanie o niej webmasterów, którzy - dokonując odpowiednich modyfikacji - mogliby zapobiec nadużyciom.

Arkin nie widzi możliwości innego załatania dziury. Jej odkrywcy oczekują jednak od koncernu wydania poprawki. Według nich większość administratorów stron nie zdaje sobie sprawy z konieczności wprowadzenia zmian. Omawiany błąd występuje nawet w serwisie Adobe. Spośród zabezpieczonych witryn warto wymienić Windows Live Hotmail Microsoftu, Wikipedię oraz YouTube należące do Google (Gmail natomiast został podany jako przykład usługi narażonej na ataki).

Zdaniem specjalistów luka nie jest jeszcze wykorzystywana przez cyberprzestępców. Jak można się przed nią zabezpieczyć? Foreground Security doradza internautom zainstalowanie wtyczek blokujących próby uruchomienia złośliwego kodu, takich jak NoScript w przypadku Firefoksa lub ToggleFlash, który pomoże w zabezpieczeniu Internet Explorera