Компания MITRE опубликовала 25 самых опасных программных ошибок за последние два года
Компания MITRE опубликовала сегодня список из 25 наиболее опасных и распространённых «слабых сторон», которые присущи программному обеспечению за последние два года.
К «слабым сторонам» специалисты относят: ошибки, недочеты, уязвимости, которые были обнаружены в архитектуре, коде, реализации, дизайне программного решения, способные подвергнуть системы, на которых ПО выполняется, успешным кибератакам.
Эксперты по информационной безопасности компании MITRE оценивали каждый тип ошибки и «слабого места», учитывая их критичность и распространенность. В качестве основы бралась информация об общих уязвимостях CVE за 2018-19 гг. из Национальной базы данных уязвимостей (NVD), в которой на данный момент насчитывается более 27 тыс. CVE. Также принимались во внимание показатели общей системы оценки уязвимостей CVSS.
В компании MITRE отдельно отметили: «NVD предоставляет эти сведения в удобном формате, который способствует точному и быстрому составлению ТОП-25 ошибок, учитывая все данные.
«Слабые стороны», которые перечислены в рейтинге MITRE 2020 CWE Top, опасны, потому что киберпреступники могут найти их использовать, после чего получить полный контроль над уязвимыми системами, похитить конфиденциальные данные и инициировать отказ в обслуживании (DoS) при условии успешной эксплуатации ошибки.
Представленный компанией MITRE рейтинг создан, чтобы предоставить сообществу в целом представление о наиболее критических и актуальных на сегодняшний день недостатках безопасности современного ПО.
| Место | Идентификатор | Название | Баллы |
| [1] | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 46.82 |
| [2] | CWE-787 | Out-of-bounds Write | 46.17 |
| [3] | CWE-20 | Improper Input Validation | 33.47 |
| [4] | CWE-125 | Out-of-bounds Read | 26.50 |
| [5] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 23.73 |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 20.69 |
| [7] | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 19.16 |
| [8] | CWE-416 | Use After Free | 18.87 |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 17.29 |
| [10] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 16.44 |
| [11] | CWE-190 | Integer Overflow or Wraparound | 15.81 |
| [12] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 13.67 |
| [13] | CWE-476 | NULL Pointer Dereference | 8.35 |
| [14] | CWE-287 | Improper Authentication | 8.17 |
| [15] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 7.38 |
| [16] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.95 |
| [17] | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 6.53 |
| [18] | CWE-522 | Insufficiently Protected Credentials | 5.49 |
| [19] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.33 |
| [20] | CWE-798 | Use of Hard-coded Credentials | 5.19 |
| [21] | CWE-502 | Deserialization of Untrusted Data | 4.93 |
| [22] | CWE-269 | Improper Privilege Management | 4.87 |
| [23] | CWE-400 | Uncontrolled Resource Consumption | 4.14 |
| [24] | CWE-306 | Missing Authentication for Critical Function | 3.85 |
| [25] | CWE-862 | Missing Authorization | 3.77 |
С полной версией отчета компании MITRE можно ознакомиться по следующей ссылке.
