De Rosetta Flash-aanval misbruikt geen kwetsbaarheid in Flash, maar in JSONP, dat onder meer wordt gebruikt als JSON-functie om cookies in te stellen. Een aanvaller kan een SFW-bestand maken met code die ervoor zorgt dat authenticatiecookiesworden aangesproken.

Server-side afdichten

Op deze manier waren de laatste tijd onder meer Twitter en Google-diensten kwetsbaar, zo meldt Ars Technica. Google en Twitter hebben CVE-2014-4671 inmiddels gepatcht en ook andere sites als Tumblr hebben laten weten het aan hun kant dichtgetimmerd te hebben.

De Flash-update die Adobe gisteren uitgaf maakt het probleem client-side onschadelijk, maar onderzoeker adviseert IT'ers om nu server-side aanpassingen te doen voor al die mensen die niet regelmatig updaten; specifiek om JSONP-callbacks niet op gevoelige domeinen toe te staan. Grote sites als Google, Twitter en Tumblr hebben het probleem reeds gepatcht.