CWE公布最新25个危险软件漏洞列表 内存损坏漏洞居首位

MITRE Common Weakness Enumeration (CWE) 团队最新列出的危险的软件安全漏洞中,包括了几个自2020年以来急剧上升的严重漏洞。

内存损坏漏洞仍居高位

内存损坏错误仍然是现代软件中最常见和最危险的安全漏洞之一。

MITRE运营的国土安全系统工程与发展研究所根据对常见漏洞和暴露 (CVE) 数据以及与每个CVE相关的严重性评分的分析,将该问题列为最新的25个最危险软件漏洞列表首位。

MITRE常见弱点枚举(CWE) 团队统计了过去两年在国家漏洞数据库 (NVD) 中与“越界”即内存损坏问题相关的总共3,033个已识别的安全漏洞。

这些漏洞的平均严重性等级为8.22(满分10),这意味着大多数漏洞被认为是非常严重的。此外,越界写入错误会导致系统崩溃、启用代码执行并导致数据损坏。

跨站点脚本错误

跨站点脚本错误(网页生成过程中输入的不当中和)是去年的头号问题。在周三发布的MITRE新的2021 CWE 25大最危险软件弱点列表中排名第二。

跨站点脚本问题允许攻击窃取会话和cookie信息、向网站发送恶意请求、利用浏览器漏洞以及执行其他恶意操作。

就原始数据而言,NVD中与跨站点脚本相关的漏洞 (3,564) 多于排名靠前的内存损坏问题。但这些漏洞在列表中的排名较低,因为它们的平均严重程度评分明显较低(5.80)。

常见又严重的错误

在MITRE排名前25位的列表中,排在前5位最常见而又严重的软件漏洞是越界读取错误,它允许攻击者从不同的内存位置读取敏感数据;不正确的输入验证错误可能导致软件崩溃或消耗过多资源;操作系统命令注入允许攻击者在操作系统上执行恶意代码。

MITRE前25名列表旨在让软件开发人员、用户和测试人员深入了解导致可利用漏洞的一些最危险和最普遍的弱点。

MITRE称,在其最新的CWE清单中,软件安全缺陷的排名突出了更多的基本级别或特定的软件缺陷,而不是以前主导此类清单的更高级别的所谓类级别缺陷。

如,它指出了列表前25名软件缺陷的上升趋势,例如操作系统命令注入、缺少关键功能的身份验证、不可信数据的反序列化以及错误的默认权限。

操作系统命令注入从去年的第10位上升到今年第5位。在今年的列表中,身份验证缺失问题上升了13位至第11,反序列化错误上升8位至第13,不正确默认权限错误上升 22位至第19。

MITRE表示,总体而言在前25名名单中,基本水平的缺陷数量从去年的60%增加到今年的71%。

SANS技术研究所研究主任表示,MITRE 列表中的软件缺陷反映了:随着企业转向围绕应用程序编程接口 (API) 构建的更分布式的基于云的应用程序而出现的一些问题。

列表反映了分布式应用程序环境的大趋势

在前25名列表中,上升幅度最大的三个漏洞都与服务环境有关,在这种环境下,大型单体应用程序已被由不同API捆绑在一起的微服务取代。

同时,软件开发速度通常会阻碍产品的安全性,因此建议企业在敏捷开发的同时,将安全置入开发周期当中,如静态代码检测工具或SCA等开源代码安全检测工具,可以协助开发人员发现缺陷代码为止,及时进行修复和改正避免漏洞产生。

软件安全公司发言人表示,开发团队的人员最好及时关注CEW中出现的严重漏洞,但同时也需要结合自身的开发环境中的具体问题。对于企业来说,更好的方法是使用自动化工具来识别其开发环境中的缺陷或漏洞。

参读链接:

www.darkreading.com/application…

评论