Компания MITRE опубликовала 25 самых опасных программных ошибок за последние два года

Дата: 20.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Компания MITRE опубликовала сегодня список из 25 наиболее опасных и распространённых “слабых сторон”, которые присущи программному обеспечению за последние два года.

К «слабым сторонам» специалисты относят: ошибки, недочеты, уязвимости, которые были обнаружены в архитектуре, коде, реализации, дизайне программного решения, способные подвергнуть системы, на которых ПО выполняется, успешным кибератакам.

Эксперты по информационной безопасности компании MITRE оценивали каждый тип ошибки и «слабого места», учитывая их критичность и распространенность. В качестве основы бралась информация об общих уязвимостях CVE за 2018-19 гг. из Национальной базы данных уязвимостей (NVD), в которой на данный момент насчитывается более 27 тыс. CVE. Также принимались во внимание показатели общей системы оценки уязвимостей CVSS.

В компании MITRE отдельно отметили: «NVD предоставляет эти сведения в удобном формате, который способствует точному и быстрому составлению ТОП-25 ошибок, учитывая все данные.

«Слабые стороны», которые перечислены в рейтинге MITRE 2020 CWE Top, опасны, потому что киберпреступники могут найти их использовать, после чего получить полный контроль над уязвимыми системами, похитить конфиденциальные данные и инициировать отказ в обслуживании (DoS) при условии успешной эксплуатации ошибки.

Представленный компанией MITRE рейтинг создан, чтобы предоставить сообществу в целом представление о наиболее критических и актуальных на сегодняшний день недостатках безопасности современного ПО.

МестоИдентификаторНазваниеБаллы
[1]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.82
[2]CWE-787Out-of-bounds Write46.17
[3]CWE-20Improper Input Validation33.47
[4]CWE-125Out-of-bounds Read26.50
[5]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer23.73
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)20.69
[7]CWE-200Exposure of Sensitive Information to an Unauthorized Actor19.16
[8]CWE-416Use After Free18.87
[9]CWE-352Cross-Site Request Forgery (CSRF)17.29
[10]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)16.44
[11]CWE-190Integer Overflow or Wraparound15.81
[12]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)13.67
[13]CWE-476NULL Pointer Dereference8.35
[14]CWE-287Improper Authentication8.17
[15]CWE-434Unrestricted Upload of File with Dangerous Type7.38
[16]CWE-732Incorrect Permission Assignment for Critical Resource6.95
[17]CWE-94Improper Control of Generation of Code (‘Code Injection’)6.53
[18]CWE-522Insufficiently Protected Credentials5.49
[19]CWE-611Improper Restriction of XML External Entity Reference5.33
[20]CWE-798Use of Hard-coded Credentials5.19
[21]CWE-502Deserialization of Untrusted Data4.93
[22]CWE-269Improper Privilege Management4.87
[23]CWE-400Uncontrolled Resource Consumption4.14
[24]CWE-306Missing Authentication for Critical Function3.85
[25]CWE-862Missing Authorization3.77

С полной версией отчета компании MITRE можно ознакомиться по следующей ссылке.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

семнадцать − пять =