Tím, že stránka přesvědčí uživatele, aby navštívil připravenou stránku, útočník může být schopen spustit nežádoucí kód. Nechte se ukolébat tím, že vás nikdo nepřesvědčí. Chybu lze zneužít i tak, že vám někdo pošle HTML kód v emailu. Pokud si jej pak prohlídnete v Safari přes webového emailového klienta, dílo je dokonáno. Kód, který tuto chybu zneužívá je již veřejně přístupný. Prozatím jediným řešením je vypnutí JavaScriptu v předvolbách Safari.
Server Secunia považuje chybu za velmi kritickou. V popisu chyby dále píše:
1) Práce s oknem může způsobit, že funkce bude volat špatný ukazatel. To pak může způsobit spuštění nežádoucího kódu, pokud uživatel navštíví speciálně upravenou stránku a zavře otevřená pop-up okna.
2) Další bezpečnostní chyba je způsobena tím, že Safari do požadavků odesílaných při přesměrování na jinou doménu vkládá informace o HTTP authentifikaci, která byla původně odesílána jinam. Příkladem může být, vyplnění formuláře s heslem pro přihlášení k administračnímu rozhraní. Pokud po odeslání požadavku je uživatel přesměrován na jinou stránku (např. pomocí hlavičky "Location"), Safari odešle jméno a heslo i na stránku, kde byl uživatel přesměrován.
Chyba byla potvrzena u Safari 4.0.5 u Windows, ale pravděpodobně budou zasaženy i další verze Safari. Chybu nahlásili Krystian Kloskowski a Vin Lisciandro. Charlieho Millera prý kontaktoval server computerworld, aby ověřila zda chyba existuje i na Macovi. Ten však nebyl v kanceláři.
Jsme zvědavý, kdy se objeví záplata na tuto chybu. Chyba byla oficiálně publikovaná serverem Secunia 7. května 2010. Od té doby běží Apple čas pro nápravu této chyby.
