技術支援
文件
登錄
聯繫我們
MITRE 揭示了 25 個最危險的軟體弱點
奧班拉·奧佩耶米
實施期間: 2023年7月10 日 - TuxCare專家團隊
MITRE宣佈了過去兩年中困擾該行業的25個最危險的軟體漏洞名單,此前根據其嚴重程度和普遍性對每個弱點進行了嚴格評估和評分。這些漏洞包括故障、錯誤、漏洞和錯誤,對軟體系統的安全構成重大危害。
根據MITRE的說法,越界是清單中最重要的問題,當軟體將數據寫入指定記憶體區域之外時,就會發生這種情況。這允許攻擊者在受害者的PC上啟動有害應用程式。其他重要問題包括跨網站腳本 (XSS)、SQL 注入和釋放後使用。
按時間順序,弱點是越界寫入 (CWE-787)、跨網站腳本 (CWE-79)、SQL 注入 (CWE-89)、釋放后使用 (CWE-416)、操作系統命令注入 (CWE-78)、不正確的輸入驗證 (CWE-20)、越界讀取 (CWE-125)、路徑遍曆 (CWE-22)、跨網站請求偽造 (CSRF)、無限制上傳危險類型的檔 (CWE-434)、缺少授權 (CWE-862)、空指標取消引用 (CWE-476)、身份驗證不當 (CWE-287)。
其他包括整數溢出或環繞 (CWE-190)、不受信任數據的反序列化 (CWE-502)、命令中使用的特殊元素的不當中和 (CWE-77)、記憶體緩衝區範圍內的操作限制不當 (CWE-119)、使用硬編碼憑據 (CWE-798)、伺服器端請求偽造 (SSRF)、缺少關鍵功能的身份驗證 (CWE-306)、使用同步不當的共用資源併發執行 (CWE-362), 不正確的許可權管理 (CWE-269)、代碼生成控制不當 (CWE-94)、授權不正確 (CWE-863)、默認許可權不正確 (CWE-276)。
他們的調查包括對國家漏洞資料庫 (NVD) 中的 43,996 個專案進行全面評估,該資料庫由美國國家標準與技術研究院 (NIST) 維護,包含有關 2021 年和 2022 年發現和報告的漏洞的資訊。MITRE還調查了CISA的已知漏洞(KEV)目錄的常見漏洞和暴露(CVE)條目。
MITRE表示,它調查了某個常見弱點枚舉(CWE)作為漏洞根本原因發生的頻率,以及這些漏洞在被利用時的平均嚴重性,由CVSS分數確定。MITRE接著說,通過規範化相對於數據集最低和最高值的頻率和嚴重性數位,它能夠創建發現缺陷的客觀排名順序。
這些弱點的影響包括危及安裝和運行受影響軟體的系統的安全性,惡意行為者利用此作為入口點來獲得對設備的未經授權的控制、訪問敏感數據或觸發破壞性拒絕服務事件。
這篇文章的來源包括 BleepingComputer上的一篇文章。
