記憶體安全週報第99期 | MITRE公佈了2022年前25個最危險軟體缺陷列表（CWE™ Top 25）

一、MITRE公佈了2022 Common Weakness Enumeration (CWE)中前25個最危險軟體缺陷列表（CWE Top 25）。（7.6）

五大缺陷：

詳細情況

進入前25名的新缺陷：

•  CWE-362 (對使用共享資源的併發執行沒有正確同步（“競爭條件”）)): from #33 to #22

•  CWE-94 (程式碼生成控制不當（“程式碼注入”）): from #28 to #25

•  CWE-400 (不受控制的資源消耗): from #27 to #23

跌出前 25 名的缺陷：

• CWE-200 (將敏感資訊暴露給未經授權的行為者): from #20 to #33

• CWE-522 (憑證保護不足): from #21 to #38

• CWE-732 (關鍵資源的許可權分配不正確): from #22 to #30

這些缺陷的影響：

這些缺陷通常很容易被發現和利用，會引起可利用的漏洞，允許攻擊者完全控制系統、竊取資料或阻止應用程式執行。

結論：

軟體行業專家會發現 CWE Top 25 是一種實用且便捷的可以幫助降低風險的資源。除此之外，有些軟體缺陷不夠嚴重或不夠常見，沒有列入2022 CWE Top 25。 但是，使用 2022 CWE Top 25幫助降低風險和做風險決策的人們應該考慮在他們的分析中包括這些沒有被列入的軟體缺陷，因為所有軟體缺陷都可以在適當的條件下成為可利用的漏洞。

參考連結
https://cyware.com/news/mitre-reveals-2022-list-of-most-dangerous-software-bugs-07947201

二、Google Chrome的WebRTC 0Day正面臨在野利用（7.6）

WebRTC中的一個高嚴重性的堆緩衝區溢位錯誤（編號為CVE-2022-2294）。WebRTC是一種允許網頁在瀏覽器內播放實時音訊和影片內容的HTML5規範。

詳細情況

可能的後果：

堆緩衝區溢位通常是記憶體問題，如果被利用，可能會導致一系列的後果。可能的後果包括使裝置崩潰、拒絕服務（DoS）、遠端程式碼執行（RCE）和安全服務繞過。

修復：

Google釋出了其Chrome瀏覽器的更新，包括適用於Windows的Chrome 103.0.5060.114和適用於Android的Chrome 103.0.5060.71。

Chrome更新還修復了其他漏洞，即：

- CVE-2022-2295，Chrome中使用的V8 JavaScript引擎的型別混淆。

- CVE-2022-2296，Chrome OS Shell中的釋放後重用(UAF)錯誤。

所有這三個漏洞都被評為高嚴重性。

結論：

因為已知今天被打補丁的0Day已被攻擊者在野使用，強烈建議儘快安裝今天的谷歌瀏覽器更新。

參考連結

https://www.darkreading.com/vulnerabilities-threats/google-chrome-webrtc-zero-day-active-exploitation