MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

Американская некоммерческая организация MITRE поделилась 25 самыми распространёнными и опасными уязвимостями в софте. Специалисты составили рейтинг на основе анализа проблем безопасности за последние два года.

Для формирования соответствующего списка MITRE опиралась на данные CVE за 2018 и 2019 годы, хранящиеся в Национальной базе уязвимостей (NVD). При этом учитывалась степень риска (шкала CVSS).

«NVD предоставляет информацию в удобоваримом формате, что, безусловно, помогло создать наш топ-25», — объясняют сотрудники MITRE.

Теперь о самих проблемах безопасности. Первое место занял межсайтовый скриптинг (XSS). Именно этот вид уязвимостей наиболее опасен, так как его достаточно легко использовать в атаках.

Второе место досталось возможности чтения за пределами границ (Out-of-bounds Write), а замкнула тройку брешь некорректной обработки входных данных.

Место Идентификатор Имя Баллы
[1] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.82
[2] CWE-787 Out-of-bounds Write 46.17
[3] CWE-20 Improper Input Validation 33.47
[4] CWE-125 Out-of-bounds Read 26.50
[5] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 23.73
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 20.69
[7] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 19.16
[8] CWE-416 Use After Free 18.87
[9] CWE-352 Cross-Site Request Forgery (CSRF) 17.29
[10] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 16.44
[11] CWE-190 Integer Overflow or Wraparound 15.81
[12] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 13.67
[13] CWE-476 NULL Pointer Dereference 8.35
[14] CWE-287 Improper Authentication 8.17
[15] CWE-434 Unrestricted Upload of File with Dangerous Type 7.38
[16] CWE-732 Incorrect Permission Assignment for Critical Resource 6.95
[17] CWE-94 Improper Control of Generation of Code ('Code Injection') 6.53
[18] CWE-522 Insufficiently Protected Credentials 5.49
[19] CWE-611 Improper Restriction of XML External Entity Reference 5.33
[20] CWE-798 Use of Hard-coded Credentials 5.19
[21] CWE-502 Deserialization of Untrusted Data 4.93
[22] CWE-269 Improper Privilege Management 4.87
[23] CWE-400 Uncontrolled Resource Consumption 4.14
[24] CWE-306 Missing Authentication for Critical Function 3.85
[25] CWE-862 Missing Authorization 3.77

К слову, на днях эксперты компании Claroty опубликовали свой отчёт, в котором анализировались уязвимости АСУ ТП. По словам специалистов, 70% брешей в автоматизированных системах управления можно использовать удалённо.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Mastercard готовит запуск биометрической карты F.CODE Easy

Оператор платежной системы Mastercard готовит к пробным испытаниям банковскую карту F.CODE Easy, использующую отпечатки пальцев для подтверждения прав на транзакцию в платежных терминалах магазинов. Стартующий в Азии пилотный проект призван повысить удобство, надежность и безопасность платежей, а также сократить количество точек, к которым владельцам карт приходится прикасаться в общественных местах.

Разработчиком новой смарт-карты является компания IDEMIA, известный производитель систем биометрической идентификации. Проект F.CODE Easy был реализован в соответствии с техническими требованиями, которые выставили в Mastercard.

В отличие от устоявшейся практики, идентификаторы владельца вшиты в чип карты, а не хранятся в централизованной базе. Батареи для датчика отпечатков пальцев F.CODE Easy не предусматривает, он питается за счет платежных терминалов. Новинка получила сертификат соответствия стандартам ISO, в том числе по безопасности.

Выпуск пилотных биометрических карт будет осуществлять компания MatchMove, поставщик банковских услуг в Сингапуре. Специалисты IDEMIA пообещали предоставить эмитенту полный набор услуг, позволяющий клиентам записаться добровольцами, не выходя из дома.

По замыслу участников проекта, первыми пользователями F.CODE Easy станут их собственные сотрудники, которые попытаются провести платеж в терминале и станут звездами демо-трансляции для потенциальных клиентов.

«В условиях всеобщего перехода на бесконтактные транзакции эта биометрическая карта предоставит больше выбора потребителю и поможет повысить безопасность», — объясняет Мэтью Драйвер (Matthew Driver), вице-президент Mastercard по управлению продукцией и услугами в Азиатско-Тихоокеанском регионе.

Согласно результатам опроса, проведенного Mastercard в разных странах, две трети потребителей не считают переход на цифровые платежи временным явлением. Около половины опрошенных заявили, что планируют и впредь меньше пользоваться наличными — даже после того, как угроза заражения COVID-19 утратит свою актуальность.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru