俄罗斯安全研究人员 Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节，这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞，试图让Valve 在披露前修复，但第二个 Steam 0day 他无法报告给 Valve，因为 HackerOne 平台的 bug 悬赏项目封杀了他。Valve 拒绝承认他递交的第一个 Steam 0day 是安全问题因此拒绝修复，他试图将漏洞公开但 HackerOne 禁止他这么做，最终他披露了这个本地提权漏洞，得到了媒体广泛的报道，随后他就被封掉，而 Valve 最终释出了补丁，但其他安全研究人员发现这个补丁是不充分的。

安全研究人员在最近举行的安全会议 DEFCON 上披露了 Webmin 的一个安全漏洞，而在漏洞正式披露前 Webmin 的开发者并没有收到通知。漏洞主要影响 Webmin 1.882 到 1.921，如果没有修改默认设置大部分版本其实是无法被利用的，只有 Version 1.890 在默认设置下受到影响。Webmin 开发者解释说，恶意代码要利用漏洞 Webmin 需要修改设置 Webmin -> Webmin Configuration -> Authentication -> Password expiry policy 设为 Prompt users with expired passwords to enter a new one。默认情况下这个选项没有启用。开发者认为这是有意植入的后门，事故的调查仍然在进行之中。

VideoLAN 项目释出了 VLC 3.0.8，修复了 13 个安全漏洞。漏洞类型从拒绝访问到远程代码执行，目前还没有漏洞正被利用的报告。这些漏洞都可以通过打开一个嵌入恶意代码的媒体文件利用，部分漏洞可以通过浏览器插件利用。 13 个漏洞中有 11 个书 Semmle 安全团队的 Antonio Morales 发现的，另外两个由 Hyeon-Ju Lee 和 Xinyu Liu 发现。VLC 用户最好尽快升级。

黑客被发现利用假的 NordVPN 网站传播银行木马。NordVPN 克隆网站是在 8 月 8 日上线的，使用了 Let’s Encrypt 签发的有效证书，吸引搜索 NordVPN 服务的用户下载安装程序，安装程序在安装 NordVPN 客户端的同时会丢下恶意负荷银行木马 Win32.Bolik.2 Trojan。这种木马能对不同银行客户端系统执行 Web 注入、流量拦截、按键记录和窃取信息。安全研究人员发现，同一黑客组织还利用类似的克隆知名网站或服务的方法传播银行木马。

法国安全研究人员 Pierrick Gaudry 发现（PDF）计划在下个月使用的莫斯科区块链投票系统存在严重漏洞，能根据公钥计算出私钥。该私钥和公钥被用于在选举中加密用户投票。漏洞主要在于密钥长度太短，现代计算机可以在很短时间内破解出来。攻击者可以利用密钥做什么暂时还不清楚，研究人员认为可能会曝光投票者的身份。莫斯科信息技术部门承诺将解决该问题，该部门发言人承认 256x3 的私钥长度不够安全，他们计划将密钥长度改为 1024 位。但 1024 位显然还是太弱，Gaudry 认为密钥长度至少应该 2048 位。