A Deakin University tanulója az ausztrál kutató Silvio Cesare készített egy új eszközt, amely képes a bug-ok és sérülékenységek automatikus felfedezésére a beágyazott Linux könyvtárakban. A fejlesztők akár egy harmadik fél által készített projektből is beágyazhatnak vagy lemásolhatnak kódokat.

Egyrészről könnyebben kezelhetővé és menedzselhetőbbé teszi a Internenettel való összekötése az egyes kritikus infrastruktúráknak, ugyanakkor drasztikusan megnő ezen online kapcsolattal rendelkező rendszerek sebezhetősége.

Ahogy azt már korábban is sejteni lehetett, nem került be a Duqu féreg által is kihasznált TrueType 0-day sérülékenység javítása a Microsoft novemberi hibajavító csomagjába. Az e havi csomag a szokásosnál könnyedebbre sikerült, mindössze 4 hibajavítást tartalmaz, melyek közül csak egy kritikus kockázati besorolású. Minden frissítés a Windows operációs rendszerre vonatkozik, ám ahogy említettük ezek közül egy sem érinti azt a 0-day sérülékenység, melyet a nemrégiben felfedezett kifinomult féreg, a Duqu is kihasznál a számítógépek megfertőzéséhez. A Microsoft egyébként adott már ki ideiglenes frissítést az említett hibára, a végleges megoldásra azonban előreláthatólag a decemberi patch keddig kell várnunk.

A Microsoft kiadott egy ideiglenes javítást a napokban nyilvánosságra került kritikus Windows kernel sérülékenységhez, melyet a nemrégiben felfedezett igen szofisztikált féregvírus, a Duqu féreg is használ terjedésekor. A Microsoft csütörtök délután kiadott biztonsági közleményében azt írja, a korábban ismeretlen Win32k TrueType font feldolgozási sérülékenység minden támogatott Windows verziót érint, beleértve a két legbiztonságosabb Microsoft operációs rendszert, a Windows 7-t és a Windows Server 2008-t. A kritikus hibát, a sok biztonsági kutató által a Stuxnet leszármazottjaként emlegetett Duqu féreg használja a terjedéséhez.

Magyar kutatók szerint az ipari és gyártó rendszerekről adatokat és érzékeny információkat gyűjtő Duqu káros szoftver kihasznál legalább egy, eddig ismeretlen Microsoft Windows kernel hibát. A 0-day sérülékenységet egy speciálisan erre a célra elkészített Word dokumentum segítségével használja, melyet nemrégiben fedeztek fel a CrySyS-nál. A biztonsági tanácsadó cég közzétett néhány információt honlapján, melyeket a Symantec kutatói is megerősítettek. A  Word dokumentumot egyértelműen a támadott szervezet számára készítették, így biztos, hogy célzott támadásról van szó, mondták a Symantec kutatói.

A Microsoft szerint az év első felében az exploitok mindössze 1 százaléka célzott, úgynevezett 0-day hibát. A szoftveróriás felmérése szerint az exploitok 99 százaléka a hagyományos technikákat használja, mint a social engineering és az ismert, javítatlan sérülékenységeket célozza, és elenyésző a még nem publikált sérülékenységek elleni támadás. A Microsoft nemrég jelentette meg, 11. SIR biztonsági jelentését ( Security Intelligence Report - SIR). A SIRv11-ből az is kiderül, hogy a 2011 első felében terjedő káros szoftverek 45 százaléka felhasználói beavatkozást is igényelt, általában úgy, hogy az áldozatot rávették kattintson valamire, ahova nem szabadna.

Biztonsági kutatók az elmúlt héten számos a HTC Android okostelefonokat érintő "súlyos biztonsági sérülékenységet" jelentettek. A HTC saját szakemberei már vizsgálják a szóban fogó hibákat, a médiában megjelent állásfoglalás szerint, a cég komolyan veszi a felhasználókat érintő biztonsági eseményeket, így ígéretük szerint azonnal megjelentetik a hibákat javító frissítéseket, amint pontosan sikerül meghatározniuk, milyen biztonsági lépések szükségesek.

Az Impreva Hacker Intelligence Initiative (HII) jelentése szerint egyre növekszik az SQL befecskendezéses (SQL injection) támadások gyakorisága és intenzitása. A jelentés részletesen kitér arra, hogy a behatolók hogyan hajtják végre a támadást és miként kerülik meg ezzel a biztonsági előírásokat. Az Impreva vezető technológiai szakembere, Amichan Shulman elmondta, minden bizonnyal az SQL befecskendezés a legköltségesebb sérülékenység a szoftverek történetében. Az utóbbi idők legnagyobb betöréseinél, mint a Sony vagy a Nokia esetében, minden esetben szerepet játszott az SQL befecskendezés, hogy a támadók hozzáférjenek egy alkalmazás adatbázisához.

Az amerikai Belbiztonsági Hivatal (Department of Homeland Security = DHS) által a banki tranzakciók követésére használt rendszerek olyan sérülékenységekkel rendelkeznek, amelyek kiszolgáltatottá teszik a Hivatal pénzügyi rendszerét a támadóknak.

Napjainkban különösen nagy hangsúlyt kap a kormányzati munka szempontjából fontos adatok védelme. Bár sok ezzel kapcsolatos intézkedés történt már, de néhány fontos veszélyforrás felett a mai naping átsiklunk.