聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
MITRE 发布了两年来影响软件的25个最危险弱点。软件弱点包括多种问题,如缺陷、bug、漏洞以及软件解决方案代码、基础架构、实现或设计中的错误。
安全弱点可危害安装和运行软件的系统安全,未试图控制受影响设备、访问敏感数据或触发拒绝服务状态的恶意人员提供入口点。
CISA 提醒称,“这些弱点可导致软件中出现严重漏洞。攻击者可利用这些漏洞控制受影响系统、窃取数据或阻止应用程序运行。” MITRE 分析了在2021年和2022年间所发现的43,996个CVE漏洞,并基于CISA“已知遭利用漏洞 (KEV)”分类的收录情况,对它们的严重性和普遍性进行评分,创建了该清单。
MITRE 指出,“收集、检查和重新映射流程后,形成了评分公式,结合频率(根因是 CWE 的次数)以及利用时的平均严重程度(基于CVSS评分),计算了弱点的排序。在这两种情况下,相对于从数据集中观测到的最小值和最大值而言,对频率和严重程度进行了标准化。”
MITRE 本次发布的漏洞在过去两年中造成重大影响且范围广泛。成功利用这些漏洞可导致攻击者完全控制目标系统、收割和提取敏感数据或触发拒绝服务攻击。
通过共享这一清单,MITRE 为更广社区提供有价值的信息,提醒他们关注这些最严重的软件安全弱点。
关于软件和硬件漏洞的提醒
2021年发布的前15个最常利用漏洞清单在2022年4月发布,得到了全球网络安全机构的共同努力,其中不乏NSA和FBI这样的重要机构。另外,2020年发布的最常利用漏洞清单由 CISA 和 FBI 联合澳大利亚网络安全中心 (ACSC) 和英国的国家网络安全中心 (NCSC) 发布。CISA 和 FBI 还分享了2016年至2019年间10个最常利用的漏洞清单。
另外,MITRE 还发布了影响硬件系统的最危险的编程、设计和架构安全缺陷清单。CISA 提到,“CISA 建议开发人员和产品安全响应团队查看 CWE Top 25 清单并评估推荐的缓解措施,判断最适合采用的措施。在未来几周内,CWE 计划将发布更多关于 CWE Top 25 方法论、漏洞映射趋势和其它有用信息的文章,帮助说明漏洞管理如何在转移网络安全风险平衡方面发挥重要作用。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”
原文链接
https://www.bleepingcomputer.com/news/security/mitre-releases-new-list-of-top-25-most-dangerous-software-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~