Az Egyesült Államok Belbiztonsági Minisztériumának (Department of Homeland Security) Computer  Emergency Readiness Team-je (US-CERT) jelentette az Adobe-nak, hogy felfedeztek egy sérülékenységet a Shockwave Player-ben, amin keresztül káros kódot lehet futtatni. Ami igazán sokkoló a hírben az az, hogy első alkalommal 2010 októberében jelentették a hibát, a gyártó pedig azt válaszolta, hogy 2013 februárig nem fogják azt javítani.

Miközben máshol hálaadásnapi pulykát sütöttek, egy kutató több mint húsz sérülékenységet fedezett fel olyan szoftverekben, amelyekkel erőművekben, repülőtereken és gyárakban a kritikus infrastruktúrát irányítják. Aaron Portnoy az Exodus Intelligence biztonsági cég társalapítója és alelnöke által felfedezett sérülékenységeket korábban ismeretlen hibák okozzák. Portnoy megkereste az Egyesült Államok Belbiztonsági Minisztériumának keretén belül működő ICS-CERT-et, akik rendszeresen együttműködnek a gyártókkal és a kutatókkal az ipari vezérlési rendszerek (industrial control systems - ICS) szoftvereihez készülő javítások koordinálásában. Az ICS rendszerekben lévő sérülékenységek régóta ismert problémát jelentenek, mivel számos technológiát még azelőtt fejlesztettek ki, hogy az eszközöket az Internetre kötötték volna.

Jakob Lell és Jorg Schneider biztonsági szakemberek a Belkin router-ek egy komoly biztonsági hibáját fedezték fel, amikor rájöttek, hogy a vezeték nélküli eszköz WPA2 alapértelmezett jelszava a MAC cím függvénye. "Mivel a MAC cím az úgynevezett beacon frame-ben (egy időszakosan úja és úja kiküldött adminisztrációs adatcsomag, amely a hálózat adatait tartalmazza) megtalálható, a támadó könnyen ki tudja számolni, hogy mi az alapértelmezett jelszó, amivel csatlakozni tud a hálózathoz", írja a két kutató.

Az Egyesült Államok Energiaügyi Minisztériumának felmérése szerint a hivatal által használt számítógépek több mint felén olyan sérülékeny alkalmazások vannak, amelyekhez a javítást hónapokkal annak kiadása után sem telepítették fel. A jelentést készítő Gregory Friedman megjegyezte, hogy hogy a 2011-es pénzügyi évben azonosított sérülékenységek száma 38-ra csökkent az egy évvel korábbi 56-ról, ami határozottan pozitív változás, azonban felhívta a figyelmet arra, hogy a sérülékenységek típusa és súlyossága hasonlóan alakult, mint a korábbi években.

Az XSSed.com szerint az indiai biztonsági szakértő Shubham Upadhyay egy aktív cross-site scripting (XSS) sérülékenységet fedezett fel az ebay.com aukciós weboldalon. A potenciális támadónak mindössze egy Ebay eladói account-ra van szüksége, ennek segítségével XSS kódot tud beilleszteni a HTML oldalba. A sérülékenység azt használja ki, hogy a felhasználók megbíznak az Ebay-ben, így az ilyen oldalak kiváló terepet biztosítanak az ehhez hasonló kliens oldali exploitoknak. A Firefox NoScript kiegészítője proaktívan észleli a támadó kódot, és képes blokkolni azt.

A Siemens által készített és a Stuxnet által célba vett szoftver továbbra is tele van komoly biztonsági veszélyeket jelentő lyukakkal, mondta egy orosz biztonsági szakember a Defcon előadásán. A moszkvai székhelyű Positive Technologies vezetője Szergej Gordeychik a júliusi Defcon-on előadott prezentációját a Siemens kérésére,  a hibajavítások elkészítéséig nem hozták nyilvánosságra. A WinCC egy SCADA (Supervisory Control And Data Acquisition) rendszer, amely feladata a számos különböző ipari folyamat kezelése a gyárakban és erőművekben.

A Digital Bond biztonsági tanácsadó vállalat szerint a világszerte több mint 200 gyártó által az ipari vezérlő rendszerekben (industrial control systems - ICS) használt CoDeSys szoftver egy sérülékenységét fedezték fel, amit kihasználva a távoli támadók tetszőleges programkódot futtathatnak a sérülékeny eszközön anélkül, hogy bármiféle hitelesítésen kellene átmenniük. A jelentés szerint egy tervezési hibáról van szó, ami a CoDeSys runtime rendszerben található, egy olyan alkalmazásban ami a programmable logic controller (PLC) eszközökün fut. A PLC-k olyan kisméretű digitális számítógépek, amelyek vezérlik és automatizálják az erőművekben, olaj- és gázfinomítókban, gyárakban és egyéb ipari vagy katonai létesítményekben futó elektromechanikus folyamatokat.

Biztonsági szempontból a legtöbb mobil eszköz támadásra ítélt célpont. Nagyjából ezt a következtetést vonja le egy kongresszusi jelentés, amit a napokban hoztak nyilvánosságra. A biztonsági hiánya és a mobil eszközök kiberbűnözők által célpontként való kezelésének kombinációja meglehetősen sötét képet fest. Kevesebb mint egy év alatt 14000-ről 40000-re, 185%-kal nőtt a mobil eszközöket célba vevő káros szoftverek száma. "A mobil eszközök számos fenyegetéssel néznek szembe, amelyek kihasználják az nyilvánosságra került sérülékenységeket. A nem megfelelő használat és a felhasználók szegényes biztonsági ismeretei következtében lesznek veszélyesek ezek a sérülékenységek. A vállalatok és a kormányügynökségek egyaránt lépéseket tesznek a mobil eszközök biztonságának növeléséért, azonban a biztonsági felügyelet nincs mindig megfelelően megvalósítva ezeken az eszközökön, és nem lehet tudni, hogy a felhasználók tisztában vannak-e annak fontosságával, hogy engedélyezzék a biztonsági megoldásokat és alkalmazzák az ajánlott biztonságot növelő eljárásokat".

A fejlesztő cégek arra kényszerítik a programozókat, hogy minél gyorsabban adják ki a webes alkalmazásokat, ez pedig azzal jár, hogy elhanyagolják a biztonságot, mivel nem tudnak megfelelő védelmet építeni a programokba. A szoftver fejlesztő csoportok azzal küzdenek, hogy a kiadott nagy mennyiségű kódba megfelelő biztonsági eszközöket telepítsenek. A Forrester által készített felmérés 240 európai és amerikai vezető fejlesztő és biztonsági szakértő közreműködésével készült, és rámutat arra, hogy "ebben a globálisan versengő gazdasági világban a vállalatok számára az a képesség, hogy a termékeket, szolgáltatásokat minél gyorsabban leszállítsák rendkívül kritikus a siker és a profit elérése szempontjából".

Egy szoftverfejlesztő állítása szerint komoly biztonsági rést talált a Virgin Mobile telefonjaiban, amely lehetővé teszi a hacker-eknek, hogy elfogják a hívásokat és szöveges üzeneteket, kizárják a felhasználókat a saját fiókjukból, illetve új telefont vegyenek a hitelkártyájukkal. Kevin Burke egy blog posztban magyarázta el a probléma gyökerét, amely szerint a szolgáltató megköveteli az előfizetőktől, hogy a telefonszámukat használják felhasználónévként, és egy hatjegyű számot jelszóként. Burke szerint ez "horrorisztikusan gyenge" összehasonlítva egy véletlenszerűen generált 8 karakteres jelszóval, amiben kis és nagybetűk valamint számok vannak. Figyelmeztetése szerint a hacker-ek egy nap alatt megtudhatják az előfizetők PIN azonosítóját.