За додатковою інформацією, доступною на сайті The Register, уразливість можна експлуатувати за допомогою міжсайтового скриптингу. Наприклад, маємо якийсь банк, який демонструє на своєму сайті якісь котирування у вигляді флешок, - красивих таких графіків. Відповідно, зловмисникові достатньо якось змусити користувача клікнути спеціально сформоване посилання, яке не просто відкриває цей флеш-графік з котируваннями, але і передає йому спеціальним чином сформований параметр. У результаті спрацьовує уразливість і зловмисникові відсилаються сесійні куки або інша реєстраційна інформація (наприклад, логін з паролем) користувача.

 

Ситуація ускладнюється тим, що до теперішнього часу основними і, мабуть, єдиними засобами створення флеш-анімацій залишилися 6 програм - 3 з них розповсюджуються самою корпорацією Adobe (Dreamweaver, Connect, Breeze), і ще 3 - сторонніми розробниками (Techsmith Camtasia, Infosoft Fusioncharts, додаток від Autodemo). Більше програм немає, але більше і не треба - кожне з цих шести серидовищ розробки створює уразливі флешки. З одного боку, Adobe може (і обіцяло) випустити патч для свого Adobe Flash Player (єдиний на сьогодні браузерний аплет для відображення флешок), який змусить браузер строго відноситися до змінних, але це - лише часткове вирішення ситуації. Проблема створення (саме створення) нових уразливих флешок не вирішена до цих пір і не буде вирішена так просто, як би нам з Вами не хотілося б- із сторонніми розробниками так швидко не домовишся. Крім того, все це слід розглядати саме на тлі неймовірної кількості вже існуючих флешок- їх же всіх доведеться перекомпілювати!