Aviv Raff tylko kilka godzin po premierze Google Chrome odkrył, że przeglądarka podatna jest na atak z użyciem JAR (archiwum Javy), mogący doprowadzić do uruchomienia pliku wykonywalnego bez zgody użytkownika.
Atak typu carpet-bombing możliwy jest dzięki błędowi WebKitu i Javy. Pierwszy raz zaprezentowany był w tej konfiguracji na tegorocznej konferencji Black Hat. Raf przygotował na blogu proof-of-concept takiego ataku. Użytkownik, aby odpalić niebezpieczny program, musi jedynie dwa razy kliknąć lewym klawiszem myszy w sytuacji, która nie sugeruje uruchomienia zewnętrznego programu.
Google Chrome (jak informuje user-agent) wykorzystuje silnik WebKit 525.13 (podobnie jak Safari 3.1). Apple załatał już podobną lukę w WebKicie w Safari v3.1.2.