Con la introducción a finales de 2014 de HTML en la mayoría de navegadores web, muchos vaticinaban la muerte de Flash en el corto plazo, ya que HTML5 presenta una serie de ventajas frente a Flash, como mayor seguridad y menor consumo de recursos. Aun así, Flash se sigue utilizando, y mucho. Sobre todo, en anuncios, debido a que HTML5 no es compatible con antiguos navegadores.
Un estudio realizado por GeoEdge, una empresa dedicada a la seguridad en los anuncios web, ha determinado que la seguridad no depende de HTML5 o Flash, sino del código que éstos puedan ejecutar. Los creadores de anuncios pueden inyectar código en JavaScript y alterar el anuncio.
Además, no todo son ventajas con respecto a HTML5. Está claro que es mejor de cara a los móviles, porque consume muchos menos recursos, y hoy día es raro el móvil que tiene instalado Flash, porque muy pocos navegadores son ya compatibles con él. Por si fuera poco, es más seguro que Flash, aunque no por mucho, como han demostrado en el estudio. Flash, también, es compatible con ordenadores que usan navegadores antiguos, y permite un mejor renderizado de los anuncios en movimiento y son más fáciles de optimizar. Los anuncios en HTML5, por otro lado, son más fáciles de crear y de hacerlos funcionar en dispositivos móviles.
Adobe ha ido siempre algo rezagado en cuanto a arreglar problemas de seguridad en Flash. Casi cada mes se están descubriendo nuevas vulnerabilidades, y no fue hasta que los navegadores web más importantes amenazaron con eliminar su compatibilidad con Flash que en Adobe se pusieron las pilas. Aun así, llegó tarde, ya que la industria estaba empezando a desarrollar HTML5, añadiéndole la mayoría de funciones que tiene Flash. Google y Amazon, por ejemplo, dejaron de utilizar Flash para anuncios estáticos, pero los que usan movimiento sí usan Flash todavía.
Los hackers dedicados a crear malware en los anuncios utilizan indistintamente HTML5 o Flash. Esta técnica, conocida como malvertising, no se basa en la tecnología que utiilice, sino en los estándares en los que está hecha la infraestructura de la red. Los estándares VAST y VPAID, utilizados sobre todo en anuncio por vídeo, son los principales objetivos de los atacantes. Estos estándares definen la ruta que debe seguir el anuncio desde el creador del anuncio hasta el navegador del usuario.
Aunque sea una imagen fija con Flash o HTML5, el problema es que se pueda modificar y recibir un JavaScript modificado. En el código está el problema, no en el anuncio.