CWE公佈最新25個危險軟體漏洞列表 記憶體損壞漏洞居首位
MITRE Common Weakness Enumeration (CWE) 團隊最新列出的危險的軟體安全漏洞中,包括了幾個自2020年以來急劇上升的嚴重漏洞。
記憶體損壞漏洞仍居高位
記憶體損壞錯誤仍然是現代軟體中最常見和最危險的安全漏洞之一。
MITRE運營的國土安全系統工程與發展研究所根據對常見漏洞和暴露 (CVE) 資料以及與每個CVE相關的嚴重性評分的分析,將該問題列為最新的25個最危險軟體漏洞列表首位。
MITRE常見弱點列舉(CWE) 團隊統計了過去兩年在國家漏洞資料庫 (NVD) 中與“越界”即記憶體損壞問題相關的總共3,033個已識別的安全漏洞。
這些漏洞的平均嚴重性等級為8.22(滿分10),這意味著大多數漏洞被認為是非常嚴重的。此外,越界寫入錯誤會導致系統崩潰、啟用程式碼執行並導致資料損壞。
跨站點指令碼錯誤
跨站點指令碼錯誤(網頁生成過程中輸入的不當中和)是去年的頭號問題。在週三釋出的MITRE新的2021 CWE 25大最危險軟體弱點列表中排名第二。
跨站點指令碼問題允許攻擊竊取會話和cookie資訊、向網站傳送惡意請求、利用瀏覽器漏洞以及執行其他惡意操作。
就原始資料而言,NVD中與跨站點指令碼相關的漏洞 (3,564) 多於排名靠前的記憶體損壞問題。但這些漏洞在列表中的排名較低,因為它們的平均嚴重程度評分明顯較低(5.80)。
常見又嚴重的錯誤
在MITRE排名前25位的列表中,排在前5位最常見而又嚴重的軟體漏洞是越界讀取錯誤,它允許攻擊者從不同的記憶體位置讀取敏感資料;不正確的輸入驗證錯誤可能導致軟體崩潰或消耗過多資源;作業系統命令注入允許攻擊者在作業系統上執行惡意程式碼。
MITRE前25名列表旨在讓軟體開發人員、使用者和測試人員深入瞭解導致可利用漏洞的一些最危險和最普遍的弱點。
MITRE稱,在其最新的CWE清單中,軟體安全缺陷的排名突出了更多的基本級別或特定的軟體缺陷,而不是以前主導此類清單的更高階別的所謂類級別缺陷。
如,它指出了列表前25名軟體缺陷的上升趨勢,例如作業系統命令注入、缺少關鍵功能的身份驗證、不可信資料的反序列化以及錯誤的預設許可權。
作業系統命令注入從去年的第10位上升到今年第5位。在今年的列表中,身份驗證缺失問題上升了13位至第11,反序列化錯誤上升8位至第13,不正確預設許可權錯誤上升 22位至第19。
MITRE表示,總體而言在前25名名單中,基本水平的缺陷數量從去年的60%增加到今年的71%。
SANS技術研究所研究主任表示,MITRE 列表中的軟體缺陷反映了:隨著企業轉向圍繞應用程式程式設計介面 (API) 構建的更分散式的基於雲的應用程式而出現的一些問題。
列表反映了分散式應用程式環境的大趨勢
在前25名列表中,上升幅度最大的三個漏洞都與服務環境有關,在這種環境下,大型單體應用程式已被由不同API捆綁在一起的微服務取代。
同時,軟體開發速度通常會阻礙產品的安全性,因此建議企業在敏捷開發的同時,將安全置入開發週期當中,如 靜態程式碼檢測工具或SCA等 開原始碼安全檢測工具,可以協助開發人員發現缺陷程式碼為止,及時進行修復和改正避免漏洞產生。
軟體安全公司發言人表示,開發團隊的人員最好及時關注CEW中出現的嚴重漏洞,但同時也需要結合自身的開發環境中的具體問題。對於企業來說,更好的方法是使用自動化工具來識別其開發環境中的缺陷或漏洞。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2783263/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 記憶體安全週報第99期 | MITRE公佈了2022年前25個最危險軟體缺陷列表(CWE™ Top 25)記憶體MIT
- 微軟發現一個 ChromeOS 遠端記憶體損壞漏洞微軟Chrome記憶體
- 【漏洞預警】Cisco 最新公佈24個高危以上漏洞
- 深信服EDR快速釋出Windows condrv.sys記憶體損壞漏洞防護Windows記憶體
- 這4大勒索軟體漏洞易使企業處於危險之中
- MITRE公佈2022 年“CWE 前 25 名”MIT
- 中介軟體漏洞
- 記記憶體條硬體損壞藍色畫面的 dump 檔案分析記憶體
- 【記憶體管理】記憶體佈局記憶體
- 軟體漏洞分析技巧分享
- 深夜除錯某瀏覽器記憶體損壞的小記錄除錯瀏覽器記憶體
- 記憶體安全週報第116期|在ABB Flow Computer中發現高風險漏洞記憶體
- 記憶體安全週報第104期|微軟釋出了針對121個漏洞的修補程式記憶體微軟
- 微軟曝新IE瀏覽器全系指令碼引擎記憶體損壞零日遠端攻擊漏洞,野外已利用暫無補丁,附緩解命令微軟瀏覽器指令碼記憶體
- CVE-2016-0189 vbs指令碼引擎損壞漏洞分析指令碼
- AV-TEST公佈最新Windows 10安全軟體產品排名Windows
- 2020及2021年常被利用的30個軟體漏洞
- 漏洞簡析——CWE-259:使用硬編碼的密碼漏洞密碼
- MongoDB 資料檔案損壞修復救命repair與致命危險MongoDBAI
- OC物件記憶體佈局物件記憶體
- Java物件記憶體佈局Java物件記憶體
- C程式記憶體佈局C程式記憶體
- 記憶體安全週報第93期 | 許可權提升成為微軟頭號漏洞記憶體微軟
- 程式碼安全測試第十一期:記憶體洩漏漏洞記憶體
- 福昕釋出安全更新,PDF軟體存在多個漏洞
- Intel軟體被曝漏洞:直接放棄Intel
- 淺談中介軟體漏洞與防護
- 中介軟體漏洞攻防學習總結
- Web中介軟體常見漏洞總結Web
- 常見中介軟體漏洞復現(上)
- 黑客宣稱可以遠端控制25輛特斯拉,並非通過軟體漏洞操作黑客
- 【ERP軟體】ERP體系二次開發有哪些危險?
- 心臟滴血漏洞:OpenSSL中的一個漏洞如何導致安全危機
- Java物件的記憶體佈局Java物件記憶體
- JVM -- 物件的記憶體佈局JVM物件記憶體
- [CPP] 類的記憶體佈局記憶體
- 施耐德電氣修補16 個 U.motion Builder 軟體漏洞UI
- Intel新至強Cascade Lake架構細節公佈:硬體底層仍存漏洞Intel架構