MITRE Common Weakness Enumeration (CWE) 團隊最新列出的危險的軟體安全漏洞中，包括了幾個自2020年以來急劇上升的嚴重漏洞。

記憶體損壞錯誤仍然是現代軟體中最常見和最危險的安全漏洞之一。

MITRE運營的國土安全系統工程與發展研究所根據對常見漏洞和暴露 (CVE) 資料以及與每個CVE相關的嚴重性評分的分析，將該問題列為最新的25個最危險軟體漏洞列表首位。

MITRE常見弱點列舉(CWE) 團隊統計了過去兩年在國家漏洞資料庫 (NVD) 中與“越界”即記憶體損壞問題相關的總共3,033個已識別的安全漏洞。

這些漏洞的平均嚴重性等級為8.22(滿分10)，這意味著大多數漏洞被認為是非常嚴重的。此外，越界寫入錯誤會導致系統崩潰、啟用程式碼執行並導致資料損壞。

跨站點指令碼錯誤(網頁生成過程中輸入的不當中和)是去年的頭號問題。在週三釋出的MITRE新的2021 CWE 25大最危險軟體弱點列表中排名第二。

跨站點指令碼問題允許攻擊竊取會話和cookie資訊、向網站傳送惡意請求、利用瀏覽器漏洞以及執行其他惡意操作。

就原始資料而言，NVD中與跨站點指令碼相關的漏洞 (3,564) 多於排名靠前的記憶體損壞問題。但這些漏洞在列表中的排名較低，因為它們的平均嚴重程度評分明顯較低(5.80)。

在MITRE排名前25位的列表中，排在前5位最常見而又嚴重的軟體漏洞是越界讀取錯誤，它允許攻擊者從不同的記憶體位置讀取敏感資料;不正確的輸入驗證錯誤可能導致軟體崩潰或消耗過多資源;作業系統命令注入允許攻擊者在作業系統上執行惡意程式碼。

MITRE前25名列表旨在讓軟體開發人員、使用者和測試人員深入瞭解導致可利用漏洞的一些最危險和最普遍的弱點。

MITRE稱，在其最新的CWE清單中，軟體安全缺陷的排名突出了更多的基本級別或特定的軟體缺陷，而不是以前主導此類清單的更高階別的所謂類級別缺陷。

如，它指出了列表前25名軟體缺陷的上升趨勢，例如作業系統命令注入、缺少關鍵功能的身份驗證、不可信資料的反序列化以及錯誤的預設許可權。

作業系統命令注入從去年的第10位上升到今年第5位。在今年的列表中，身份驗證缺失問題上升了13位至第11，反序列化錯誤上升8位至第13，不正確預設許可權錯誤上升 22位至第19。

MITRE表示，總體而言在前25名名單中，基本水平的缺陷數量從去年的60%增加到今年的71%。

SANS技術研究所研究主任表示，MITRE 列表中的軟體缺陷反映了：隨著企業轉向圍繞應用程式程式設計介面 (API) 構建的更分散式的基於雲的應用程式而出現的一些問題。

列表反映了分散式應用程式環境的大趨勢

在前25名列表中，上升幅度最大的三個漏洞都與服務環境有關，在這種環境下，大型單體應用程式已被由不同API捆綁在一起的微服務取代。

同時，軟體開發速度通常會阻礙產品的安全性，因此建議企業在敏捷開發的同時，將安全置入開發週期當中，如 靜態程式碼檢測工具或SCA等 開原始碼安全檢測工具，可以協助開發人員發現缺陷程式碼為止，及時進行修復和改正避免漏洞產生。

軟體安全公司發言人表示，開發團隊的人員最好及時關注CEW中出現的嚴重漏洞，但同時也需要結合自身的開發環境中的具體問題。對於企業來說，更好的方法是使用自動化工具來識別其開發環境中的缺陷或漏洞。

CWE公佈最新25個危險軟體漏洞列表記憶體損壞漏洞居首位

相關文章