ClickCease MITRE enthüllt die 25 gefährlichsten Software-Schwachstellen

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

MITRE enthüllt die 25 gefährlichsten Software-Schwachstellen

Juli 10, 2023 - TuxCare PR Team

MITRE hat seine Liste der 25 gefährlichsten Software-Schwachstellen bekannt gegeben, die die Industrie in den letzten zwei Jahren heimgesucht haben, nachdem jede Schwachstelle nach Schweregrad und Verbreitung bewertet und eingestuft wurde. Diese Schwachstellen, zu denen Fehler, Bugs, Verwundbarkeiten und Irrtümer gehören, stellen eine große Gefahr für die Sicherheit von Softwaresystemen dar.

Laut MITRE ist Out-of-bounds das wichtigste Problem auf der Liste, das auftritt, wenn Software Daten außerhalb eines bestimmten Speicherbereichs schreibt. Dies ermöglicht es Angreifern, schädliche Anwendungen auf dem PC eines Opfers zu starten. Weitere wichtige Probleme sind Cross-Site-Scripting (XSS), SQL-Injection und die Verwendung nach der Freigabe.

In chronologischer Reihenfolge handelt es sich um folgende Schwachstellen: Out-of-bounds write (CWE-787), cross-site scripting (CWE-79), SQL injection (CWE-89), use after free (CWE-416), OS command injection (CWE-78), improper input validation (CWE-20), out-of-bounds read (CWE-125), Path Traversal (CWE-22), Cross-Site Request Forgery (CSRF), unbeschränkter Upload von Dateien mit gefährlichem Typ (CWE-434), fehlende Autorisierung (CWE-862), NULL-Zeiger-Dereferenz (CWE-476), unsachgemäße Authentifizierung (CWE-287).

Weitere Beispiele sind der Integer-Überlauf oder Wraparound (CWE-190), die Deserialisierung nicht vertrauenswürdiger Daten (CWE-502), die unsachgemäße Neutralisierung spezieller Elemente, die in einem Befehl verwendet werden (CWE-77), die unsachgemäße Einschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers (CWE-119), die Verwendung von fest kodierten Anmeldeinformationen (CWE-798), die serverseitige Anforderungsfälschung (SSRF), fehlende Authentifizierung für kritische Funktionen (CWE-306), gleichzeitige Ausführung unter Verwendung gemeinsam genutzter Ressourcen mit unsachgemäßer Synchronisierung (CWE-362), unsachgemäße Rechteverwaltung (CWE-269), unsachgemäße Kontrolle der Codeerzeugung (CWE-94), falsche Autorisierung (CWE-863), falsche Standardberechtigungen (CWE-276).

Die Untersuchung umfasste eine gründliche Bewertung von 43.996 Einträgen aus der National Vulnerability Database (NVD), die vom National Institute of Standards and Technology (NIST) verwaltet wird und Informationen über Schwachstellen enthält, die in den Jahren 2021 und 2022 gefunden und gemeldet wurden. MITRE untersuchte auch die Einträge des KEV-Katalogs (Known Exploited Vulnerabilities) des CISA (Common Vulnerabilities and Exposures).

MITRE erklärte, dass es die Häufigkeit untersuchte, mit der eine bestimmte Common Weakness Enumeration (CWE) als Ursache für eine Schwachstelle auftrat, sowie den durchschnittlichen Schweregrad dieser Schwachstellen, wenn sie ausgenutzt wurden, wie durch den CVSS-Score bestimmt. MITRE führte weiter aus, dass durch die Normalisierung der Häufigkeit und des Schweregrads im Verhältnis zu den niedrigsten und höchsten Werten des Datensatzes eine objektive Rangfolge der gefundenen Mängel erstellt werden konnte.

Zu den Auswirkungen dieser Schwachstellen gehören die Gefährdung der Sicherheit von Systemen, auf denen die betroffene Software installiert ist und ausgeführt wird, sowie die Ausnutzung durch böswillige Akteure als Einstiegspunkt, um unbefugte Kontrolle über Geräte zu erlangen, auf sensible Daten zuzugreifen oder störende Denial-of-Service-Vorfälle auszulösen.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung
MITRE enthüllt die 25 gefährlichsten Software-Schwachstellen
Artikel Name
MITRE enthüllt die 25 gefährlichsten Software-Schwachstellen
Beschreibung
MITRE hat seine Liste der 25 gefährlichsten Software-Schwachstellen veröffentlicht, die die Industrie in den letzten zwei Jahren heimgesucht haben.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter