A Flasht sokat kárhoztatták sebezhetősége miatt, ám az online hirdetéseket ellenőrző GeoEdge szerint a HTML5 reklámok sem biztonságosabbak.
A Flash persze rászolgált rossz hírére: a biztonsági szakemberek szinte havonta tártak fel benne újabb és újabb réseket, és az Adobe nem csipkedte magát a javító foltokkal. Közben a HTML5 alternatív hirdetési megoldássá nőtte ki magát, és egyre jobban kiszorította a Flasht .
A GeoEdge szerint a videohirdetéseknél a rosszindulatú reklámok a VAST és VPAID szabványok lehetőségeit használják ki, melyek meghatározzák azt az útvonalat, amin a hirdetés eljut a böngészőkig. Mindegy, hogy egy hirdetés Flashben vagy HTML5-ben íródott, az útvonal kritikus részét azok a pontok jelentik, ahol a hirdetés készítője olyan rosszindulatú JavaScripteket ad a reklámhoz, amelyek megjelölik és nyomon követik a felhasználót.
Az igazi probléma tehát nem a Flash vagy a HTML5, hanem az, hogy egyes hirdető hálózatok lehetővé teszik egyedi JavaScriptek használatát. A rosszindulatú hirdetések igazi támadási pontja nem a hirdetés, hanem a hozzáadott kód.
