Jak donosi ZDNet, pomysłodawcami nowej metody ataku są John Heasman, Billy Rios i Rob Carter. Używany przez nich plik przeglądarki traktują jak zwykłą grafikę w formacie GIF, natomiast wtyczka Javy uznaje go za aplet, który trzeba uruchomić (GIF+JAR). Wystarczy więc, że cyberprzestępca utworzy konto w serwisie umożliwiającym publikowanie zdjęć i załaduje spreparowane pliki. Zalogowani na stronie internauci, którym zdarzy się te obrazki obejrzeć, mogą zostać okradzeni z poufnych danych, takich jak nazwa użytkownika i hasło.

Atak da się przeprowadzić na każdej witrynie, która umożliwia ładowanie grafiki - stosowane są wprawdzie filtry mające blokować zagnieżdżanie skryptów na stronach, ale sprawdzany jest przy tym tylko format pliku. Bez trudu więc można swój profil uzupełnić o nietypowe obrazki z aktywną zawartością. Z sukcesem przetestowano też kombinacje JPEG+JAR oraz DOC+JAR.

Szczegóły na temat nowej metody ataku i sposobów chronienia przed nią użytkowników zostaną podane na konferencji Black Hat. Problem dotyczy większości przeglądarek, usterka występuje bowiem w wirtualnej maszynie Javy (ang. Java Virtual Machine) firmy Sun, która - jak pisze Heise Online - pracuje już nad tymczasową łatą. Według autorów prezentacji winne są także aplikacje sieciowe, które poprawność ładowanego pliku sprawdzają tylko i wyłącznie na podstawie jego rozszerzenia.