Oprogramowanie to wykorzystuje dwa niezależne błędy w przeglądarkach Safari oraz Internet Explorer - pierwszy pozwala na skopiowanie pliku na lokalny dysk bez wiedzy i zgody użytkownika, zaś drugi - nieautoryzowane uruchomienie takiego pliku. Samodzielnie oba błędy nie są specjalnie groźne, ponieważ trudne wykorzystać je przeciwko systemowi - jednak wykorzystane razem stają się bardzo niebezpieczne.

Błąd w Safari znany jest od połowy maja - chodzi to o dość kontrowersyjny problem (Apple w ogóle nie uważa go za błąd w zabezpieczeniach), polegający na tym, iż Safari nie pyta użytkownika, czy na pewno chce on pobrać ze strony WWW jakiś plik. Zdaniem specjalistów jest to luka, która naraża użytkowników na tzw. bombardowanie dywanowe (pozwala bowiem na stworzenie strony, która może próbować skopiować na dysk komputera niebezpieczne pliki).

Do tej pory wiadomo było, że przeprowadzenie ataku wykorzystującego oba błędy jest teoretycznie możliwe - teraz pojawił się dowód demonstrujący to w praktyce. Działanie exploita na razie ogranicza się do zaprezentowania potencjalnych możliwości wykorzystania luki - jest jednak bardzo prawdopodobne, że kod zostanie wkrótce wykorzystany przez przestępców do atakowania użytkowników korzystających z Safari w Windows.

Wiadomo, że Microsoft pracuje już nad uaktualnieniem dla swojej przeglądarki - nie znalazło się ono w udostępnionym właśnie pakiecie poprawek, więc kolejnym prawdopodobnym terminem premiery wydaje się drugi wtorek lipca. Przedstawiciele Apple na razie nie komentują tych doniesień - nie wiadomo więc, czy firma zamierza w ogóle udostępniać jakąś poprawkę (jak już wspomnieliśmy, koncern odmawia uznania problemu za lukę w zabezpieczeniach).