图片:未飞溅美国MITER组织
发布了 25个最危险的软件漏洞列表。 研究人员已经编制了一个表格,列出了最危险和最常见的安全问题,其标识符为CWE(常见弱点枚举)。
前25名拥有大量漏洞,攻击者可以利用这些漏洞完全控制计算机程序,禁用它们并窃取其中处理的数据。 该列表使信息安全专业人员可以更好地了解安全威胁的状况,但对于软件开发人员,测试人员和软件产品用户也将很有用。
研究方法
为了编制此列表,MITRE专家使用了有关已发布漏洞(CVE,常见漏洞和披露)的信息,来自NVD(国家漏洞数据库)的信息以及CVSS(通用漏洞评分系统)漏洞评级。 开发了一种独特的算法来评估漏洞的发生率和严重性。
排名前三的危险漏洞
根据该报告,最危险的是一个称为“内存缓冲区范围内的操作限制不当”的漏洞。 当软件在分配的内存缓冲区内运行时发生错误,但同时可以读取或写入此缓冲区边界之外的数据。 利用此漏洞,攻击者可以执行任意代码,窃取关键数据并完全禁用软件系统。
在危险方面排名第二的是代码CWE-79的漏洞-“网页生成过程中输入的不正确中和”。 跨站点脚本(XSS)是一个更为熟悉的名称。 此类漏洞很常见,由于对用户在网站页面上输入的数据的控制不足,可能导致严重后果。
第三名是无效输入验证(CWE-20)漏洞。 攻击者可以发出特殊的恶意请求,并且系统将通过提供增加的特权或访问关键数据来对此作出响应。
下表是根据MITER列出的最危险的漏洞的完整表格。
其他相关的网络威胁
MITER等级不是有关当前网络威胁的唯一信息来源。 积极技术公司(Positive Technologies)在2018年的结果之后
发布了有关Web应用程序攻击
的报告。 网站上最常见的三种攻击包括SQL注入,路径遍历和跨站点脚本(XSS)。
此外,Positive Technologies专家每季度
发布一次有关当前网络威胁的分析报告。 因此,在2019年第二季度,网络犯罪分子积极利用Exim邮件服务器(CVE-2019-10149)中的漏洞。 该错误的使用方式不同:一些攻击者在其帮助下下载了加密货币挖掘软件,而另一些攻击者在邮件服务器上实施了后门程序。