Un Ingeniero de Google, Michele Spagnuolo, descubrió una falla de seguridad peligroso en el plug-in de Flash de Adobe que podría permitir a piratas informáticos robar las cookies del navegador y otros otros datos. El problema de seguridad ha sido conocido desde hace bastante tiempo, pero fue considerada de baja prioridad porque nadie conocía que existía el exploit. Spagnuolo explica que el exploit no es el resultado de deficiencias en JSONP o una vulnerabilidad específica en Flash, el resultado se logra mediante la combinación de dos características inofensivas que crean un problema de seguridad.
El ataque se basa en el comportamiento que ha existido desde hace años, que permite contenido binario en un archivo, el cual crea un retroceso de onda de choque común en los archivos Flash, el cual es mas conocido como SWF, que convierte un archivo en caracteres alfanuméricos. La conversión ocurre normalmente cuando comprimimos un archivo SWF, esto funciona con los sitios web que utilizan una técnica conocida como JSONP o JSON para establecer las cookies del navegador y realizar otras tareas.
Como resultado de todo esto, un sitio web malicioso podría alojar archivo SWF bomba, que podría utilizar las cookies de autenticación que se han establecido previamente por eBay y otros sitios vulnerables.
Afortunadamente, Adobe ya hizo un parche disponible que mitiga el ataque. Grandes sitios web también están trabajando una forma de prevenir el ataque y proteger a los usuarios que no han actualizado su versión de Flash todavía.