chał Zalewski, odkrywca błędu, uruchomił witrynę, na której pokazuje, w jaki sposób można wykorzystać błąd. Witryna działa w Firefoksie 1.5 oraz 2.0.
Jego zdaniem problem leży w sposobie w jaki Firefox radzi sobie z adresem about:blank, który pokazuje czystą stronę. Firefox nigdzie nie pokazuje, że użytkownik znajduje się na takiej właśnie stronie. About:blank może zostać otwarta również przez JavaScript i to właśnie za pomocą funkcji tego języka można załadować dodatkową zawartość na stronę. Sposób ten działa, ponieważ about:blank nie jest przypisany do żadnej domeny a document.location jest zdefiniowane.
Zalewski informuje, że jedynym sposobem obrony jest wyłączenie JavaScript lub używanie wtyczki NoScript.
Źródło: ArcaBit.pl