作为网络安全领域的基石,常见缺陷枚举 (CWE) 项目公布了其最新版本 4.14 版,引入了重大更新和增强功能,以增强硬件和软件系统的安全性。
新条目和视图
微处理器漏洞
CWE4.14引入了四个专门针对硬件微架构的新条目。
这些条目解决了与瞬态执行相关的漏洞,这是现代 CPU 设计的一个关键方面,已被利用在显著的侧通道攻击中,如Meltdown和Spectre。
新的缺陷是
CWE-1420:瞬态执行期间敏感信息的暴露
CWE-1421: 瞬态执行过程中共享微架构结构中敏感信息的暴露
CWE-1422: 瞬态执行过程中数据转发错误导致的敏感信息泄露
CWE-1423: 由影响瞬态执行的共享微架构预测器状态导致的敏感信息泄露
这些新增功能凸显了解决硬件级安全性问题的重要性,以防止敏感数据因复杂的网络攻击而泄露。
加强工业自动化安全
CWE 4.14 还引入了一个新视图 CWE-1424,重点关注工业自动化和控制系统 (IACS) 的 “ISA/IEC 62443 要求解决的缺陷”。
这个视图符合 ISA/IEC 62443 标准,为识别和减轻关键基础设施系统中的漏洞提供了一个框架。
这也表明,CWE项目致力于提高工业系统的安全态势,以应对新出现的威胁。
这个版本中一个值得注意的改进是在所有CWE入口网页上引入了漏洞映射标签。
这些标签将CWE分类为批准的、不鼓励的或禁止的漏洞根源映射,为用户提供了快速访问详细映射注释的机会。
此特性旨在简化识别和理解特定弱点的含义的过程,从而促进更有效的漏洞管理。
漏洞列表有938项漏洞,共有1,426条漏洞。
新版本的更改包括:
参阅 cwe.mitre.org/data/report… 查看完整更改列表。
CWE 4.14版本的发布代表了在保护数字基础设施免受不断变化的威胁方面向前迈出的重要一步。
通过解决硬件和软件漏洞,增强CWE条目的可用性,并与行业标准保持一致,此更新为网络安全专业人员提供了全面的资源。
随着数字环境的不断发展,CWE项目仍然是对抗网络威胁的关键工具,确保我们的系统更能抵御攻击。
参读链接:
