Adobe Flash，这个尽管有无尽的安全问题却一直没有消亡的插件，出现了另一个烦人的问题。据安全研究人员所说，这体现在对概念验证的利用上——可以访问浏览器中通过其他网站设置的Cookie。

概念验证，题为“Rosetta Flash”，在谷歌安全工程师米歇尔·斯帕格纳洛一篇博客文章中有详细介绍，用来允许某一个页面中的JavaScript应用程序可以跨域通信。

首先，恶意的Flash应用程序被转换成ASCII码的嵌入对象，然后该编码版本的应用程序把它本身传递给一个指定的网站的JSONP端点，该端点的特点就是允许JavaScript与不同站点进行通信。传递过来的应用程序执行一个回调，但却是在那个端点的域下运行的。然后放置该网站的任何cookie就可以被通过恶意的Flash应用程序获得，并沿着攻击者的域通过。

斯帕格纳洛表示这样的安全漏洞“在信息安全界一直是一个众所周知的问题，但到目前为止，没有生成任意ASCII码的公共工具。不过值得欣慰的是，alphanum-only有效的SWF文件目前已提交。”问题不在于单独使用JSONP，因为它的整体功能是允许在首个地方的跨域通信。

一旦有漏洞的证据出现，各类网站都会争先恐后地把修补他们的服务器作为一项预防措施。eBay，Tumblr和Instagram已经能够修改网站以阻止攻击。但是根据Ars Technica介绍，许多使用JSONP端点网站还是很容易受到攻击的。

Adobe本身已经通过为客户端应修复问题的Flash Player提供更新这一实际行动做出回应。但给用户打补丁的闪存系统是出了名的慢周期，更不用说那些不常更新的企业系统——这意味着漏洞仍然可以有足够的时间做破坏。