Het lek in Adobe Flash waarmee een beveiligingsonderzoeker tijdens de PWN to OWN wedstrijd een Windows Vista laptop wist te hacken, is "cross-platform" en daardoor ook een gevaar voor Mac OS X en Linux-gebruikers. De aanval laat ook zien dat de beveiliging van Vista niet waterdicht is. Door Java en een nieuwe methode van "heap spraying" te gebruiken, is het mogelijk om de exploitcode op een te voorspellen plek in het geheugen te krijgen. Vista was juist voorzien van maatregelen die moesten voorkomen dat aanvallers het geheugen op deze manier konden gebruiken. ASLR (Address Space Layout Randomization) zorgt er bijvoorbeeld voor dat kritieke delen van Vista iedere keer op een andere plek in het virtuele geheugen worden ingeladen.

Een andere bescherming is DEP, Data Execution Prevention, wat moet voorkomen dat data in niet uitvoerbare gebieden toch wordt uitgevoerd. In de aanval die Vista op de knieën kreeg, is er waarschijnlijk een Java Applet gebruikt dat de DEP bescherming uitschakelde, waarna de Flash aanval werd uitgevoerd. Volgens Shane Macaulay die 5000 dollar voor zijn Vista-hack en de laptop kreeg, zit de kwetsbaarheid niet in Java zelf, maar zorgen de eigenschappen van Java ervoor dat de beveiliging van Microsoft wordt omzeild. "Dit kan ook tegen Linux of Mac OS X worden ingezet."

De reden dat Macaulay toch voor Vista koos was omdat hij eerder voor Microsoft heeft gewerkt en bekend met de producten van de softwaregigant is. Charlie Miller, de man die de MacBook Air hackte, liet weten dat hij voor de Mac koos omdat hij dacht dat dit een eenvoudiger doelwit zou zijn, iets wat Macaulay niet bestrijdt. Voor Nate McFeters is de cross-platform bug in Flash het bewijs dat uiteindelijk geen enkel besturingssysteem beter of veiliger is. "Kunnen we nu eindelijk deze discussie achter ons laten."

Update: titel aangepast