“Felizmente, há uma correção para essa vulnerabilidade: “Para apps que estão vulneráveis, nós recomendamos modificar o código da aplicação para receber somente valores de atributo assinados, como um passo inicial. Nós confirmamos que apps usando OpenID4Java tendem a aceitar valores não-assinados. Por favor atualize para a versão mais recente dessa biblioteca (0.9.6 final) se você estiver usando essa ou qualquer outra biblioteca de dependência (como Step2). A Kay Framework também estava vulnerável, mas foi corrigida na versão 1.0.2. Outras bibliotecas podem ter o mesmo problema embora o uso padrão de serviços/bibliotecas do Janrain, Ping Identity e DotNetOpenAuth não estão suscetíveis a esse ataque.”
A boa notícia é o fato que os ataques explorando essa falha ainda não foram detectados até agora, e que muitos dos sites afetados já notificaram e implementaram as correções necessárias.