Een combinatie van op het eerste gezicht onschuldige beveiligingslekken in browser-plugins, blijken gecombineerd aanvallers toegang tot alle bestanden op het systeem te geven. Dat demonstreerde beveiligingsonderzoeker Billy 'XS-sniper' Rios tijdens de RuxCon en BayThreat conferenties. "Als we deze bugs aan elkaar linken, krijgen we iets dat zeer interessant is." Het gaat om vijf verschillende lekken, in de plugins van Adobe Reader, Oracle Java en Adobe Flash. "Java heeft zeer veel problemen", aldus Rios.

Eén van de bugs is meer dan een jaar oud, terwijl de jongste bug meer dan honderd dagen oud is. Volgens de onderzoeker zijn sommige van de problemen niet als bug te omschrijven. Toch maakt dat de impact niet minder ernstig, zoals hij in onderstaande video demonstreert. Inmiddels zijn alle betrokken leveranciers gewaarschuwd. Daarbij prijst Rios vooral Adobe, aangezien in Adobe X het caching-gedrag is veranderd, waardoor zijn aanval niet tegen Adobe X-gebruikers werkt.

"Ik weet niet zeker waar de schuld voor het oplossen van deze problemen ligt. Als één leverancier zijn gedeelte van de aanval oplost, wordt de gehele keten van kwetsbaarheden gebroken. Aan de andere kant, als slechts één leverancier zijn probleem oplost, hoeven we alleen een andere plugin te vinden die ons dezelfde mogelijkheid geeft."