Несмотря на то что главной целью злоумышленников являются уязвимости в приложениях, разработчики программного обеспечения уделяют куда больше внимания проблемам безопасности не в программах, а в операционных системах. Группа исследователей изучила связанные с онлайновыми атаками данные, собиравшиеся в течение полугода в шести тысячах организаций, которые используют систему противодействия вторжению TippingPoint. Кроме того, в расчет принималась информация, полученная по результатам 100 млн сканирований среди 9 тысяч подписчиков сервиса компании Qualys, который оценивает наличие уязвимостей. Выяснилось, что в течение 60 дней закрывается 80% уязвимостей в операционных системах Microsoft и только 40% «дыр» в приложениях. Вместе с тем большинство хакерских атак направлено именно на приложения, особенно клиентские, включая Adobe PDF Reader, Apple QuickTime, Adobe Flash и Microsoft Office. Более 60% отслеженных TippingPoint атак имели целью веб-приложения; злоумышленники надеялись превратить привычные ресурсы в опасные, распространяющие вредоносный код для заражения уязвимых клиентских программ. Основными способами атаки выступали внедрение SQL-кода и межсайтовый скриптинг. К самым популярным методикам взлома исследователи отнесли полный перебор паролей, направленный на серверы FTP, SSH и Microsoft SQL. Наконец, чаще всего эксплуатировались проблемы с безопасностью в Apple QuickTime 7.6 (CVE-2009-0007), удаленное исполнение кода из-за уязвимости в Microsoft WordPad и текстовом конвертере Office (MS09-010), а также множественные «дыры» в Sun Java. Кроме того, не обошлось без так называемых атак нулевого дня, когда нападения совершаются до того, как обнаруженные уязвимости будут закрыты.