Support technique
Documentation
Connexion
Nous contacter
MITRE révèle les 25 faiblesses logicielles les plus dangereuses
Obanla Opeyemi
10 juillet 2023 - L'équipe d'experts de TuxCare
MITRE a annoncé sa liste des 25 vulnérabilités logicielles les plus dangereuses qui ont affligé l'industrie au cours des deux dernières années, après avoir rigoureusement évalué et noté chaque faiblesse en fonction de sa gravité et de son omniprésence. Ces vulnérabilités, qui comprennent les failles, les bogues, les vulnérabilités et les erreurs, constituent des risques majeurs pour la sécurité des systèmes logiciels.
Selon MITRE, le problème le plus important de la liste est le dépassement de limites, qui se produit lorsqu'un logiciel écrit des données en dehors d'une zone de mémoire désignée. Cela permet aux attaquants de lancer des applications nuisibles sur le PC d'une victime. Parmi les autres problèmes importants figurent le cross-site scripting (XSS), l'injection SQL et l'utilisation après la libération.
Dans l'ordre chronologique, les faiblesses sont les suivantes : écriture hors limites (CWE-787), script intersite (CWE-79), injection SQL (CWE-89), utilisation après libération (CWE-416), injection de commandes OS (CWE-78), validation d'entrée incorrecte (CWE-20), lecture hors limites (CWE-125), traversée de chemin (CWE-22), falsification de requête intersite (CSRF), téléchargement sans restriction d'un fichier de type dangereux (CWE-434), autorisation manquante (CWE-862), déréférencement de pointeur NULL (CWE-476), authentification incorrecte (CWE-287).
Parmi les autres problèmes, citons le dépassement de capacité d'un entier (CWE-190), la désérialisation de données non fiables (CWE-502), la neutralisation inappropriée d'éléments spéciaux utilisés dans une commande (CWE-77), la restriction inappropriée des opérations dans les limites d'une mémoire tampon (CWE-119), l'utilisation d'informations d'identification codées en dur (CWE-798), la falsification de requêtes côté serveur (SSRF), l'absence d'authentification pour une fonction critique (CWE-306), l'exécution concurrente utilisant une ressource partagée avec une synchronisation inappropriée (CWE-362), la gestion inappropriée des privilèges (CWE-269), authentification manquante pour une fonction critique (CWE-306), exécution concurrente utilisant une ressource partagée avec une synchronisation incorrecte (CWE-362), gestion incorrecte des privilèges (CWE-269), contrôle incorrect de la génération de code (CWE-94), autorisation incorrecte (CWE-863), permissions par défaut incorrectes (CWE-276).
Leur enquête comprenait une évaluation approfondie de 43 996 éléments de la base de données nationale sur les vulnérabilités (NVD), qui est gérée par le National Institute of Standards and Technology (NIST) et contient des informations sur les vulnérabilités trouvées et signalées en 2021 et 2022. MITRE a également examiné les entrées du catalogue KEV (Known Exploited Vulnerabilities) de la CISA relatives aux vulnérabilités et expositions communes (CVE).
MITRE a déclaré avoir étudié la fréquence à laquelle une certaine énumération de faiblesses communes (Common Weakness Enumeration - CWE) était à l'origine d'une vulnérabilité, ainsi que la gravité moyenne de ces vulnérabilités lorsqu'elles étaient exploitées, telle que déterminée par le score CVSS. MITRE a ajouté qu'en normalisant les chiffres de fréquence et de gravité par rapport aux valeurs les plus basses et les plus élevées de l'ensemble de données, elle a pu créer un ordre de classement objectif des défauts trouvés.
Les répercussions de ces faiblesses sont notamment la mise en péril de la sécurité des systèmes où le logiciel affecté est installé et fonctionne, l'exploitation par des acteurs malveillants comme point d'entrée pour obtenir un contrôle non autorisé sur des appareils, accéder à des données sensibles ou déclencher des incidents de déni de service perturbateurs.
Les sources de cet article comprennent un article de BleepingComputer.
