MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

Екатерина Быстрова 21 Августа 2020 - 09:58
...
MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

Американская некоммерческая организация MITRE поделилась 25 самыми распространёнными и опасными уязвимостями в софте. Специалисты составили рейтинг на основе анализа проблем безопасности за последние два года.

Для формирования соответствующего списка MITRE опиралась на данные CVE за 2018 и 2019 годы, хранящиеся в Национальной базе уязвимостей (NVD). При этом учитывалась степень риска (шкала CVSS).

«NVD предоставляет информацию в удобоваримом формате, что, безусловно, помогло создать наш топ-25», — объясняют сотрудники MITRE.

Теперь о самих проблемах безопасности. Первое место занял межсайтовый скриптинг (XSS). Именно этот вид уязвимостей наиболее опасен, так как его достаточно легко использовать в атаках.

Второе место досталось возможности чтения за пределами границ (Out-of-bounds Write), а замкнула тройку брешь некорректной обработки входных данных.

Место Идентификатор Имя Баллы
[1] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.82
[2] CWE-787 Out-of-bounds Write 46.17
[3] CWE-20 Improper Input Validation 33.47
[4] CWE-125 Out-of-bounds Read 26.50
[5] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 23.73
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 20.69
[7] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 19.16
[8] CWE-416 Use After Free 18.87
[9] CWE-352 Cross-Site Request Forgery (CSRF) 17.29
[10] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 16.44
[11] CWE-190 Integer Overflow or Wraparound 15.81
[12] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 13.67
[13] CWE-476 NULL Pointer Dereference 8.35
[14] CWE-287 Improper Authentication 8.17
[15] CWE-434 Unrestricted Upload of File with Dangerous Type 7.38
[16] CWE-732 Incorrect Permission Assignment for Critical Resource 6.95
[17] CWE-94 Improper Control of Generation of Code ('Code Injection') 6.53
[18] CWE-522 Insufficiently Protected Credentials 5.49
[19] CWE-611 Improper Restriction of XML External Entity Reference 5.33
[20] CWE-798 Use of Hard-coded Credentials 5.19
[21] CWE-502 Deserialization of Untrusted Data 4.93
[22] CWE-269 Improper Privilege Management 4.87
[23] CWE-400 Uncontrolled Resource Consumption 4.14
[24] CWE-306 Missing Authentication for Critical Function 3.85
[25] CWE-862 Missing Authorization 3.77

К слову, на днях эксперты компании Claroty опубликовали свой отчёт, в котором анализировались уязвимости АСУ ТП. По словам специалистов, 70% брешей в автоматизированных системах управления можно использовать удалённо.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

МегаФон запустил доступ к популярным зарубежным ИИ-моделям
Яков Шпунт 10 Апреля 2026 - 10:32
GenAI (генеративный искусственный интеллект) Домашние пользователиКорпорации МегаФон
МегаФон запустил доступ к популярным зарубежным ИИ-моделям

Оператор связи «МегаФон» запустил новый продукт для бизнеса — «МегаНейросети», в рамках которого корпоративные клиенты получили доступ к популярным зарубежным ИИ-моделям. Пользоваться сервисом можно через веб-интерфейс или чат-бот.

Осенью 2025 года аналогичные услуги запустили МТС, «Билайн» и оператор Yota, присоединённый к «МегаФону».

Помимо прямого доступа к зарубежным ИИ-моделям, включая Gemini, ChatGPT и Claude, сервис предлагает инструменты, упрощающие создание запросов. При этом для подключения к моделям не требуется использовать VPN или прибегать к каким-либо дополнительным способам оплаты и другим обходным решениям.

По оценке ТАСС, такие сервисы оказались весьма востребованными и быстро набирают популярность среди клиентов. На этом фоне «МегаФон» также запустил собственный сервис «МегаНейросети».

«МегаНейросети» ориентированы на корпоративных клиентов. Бесплатная подписка включает доступ к шести зарубежным моделям с ограниченным числом запросов, платная — к 25. Кроме того, пользователям доступны веб-интерфейс и чат-бот для более удобной работы. Среди моделей, с которыми работает сервис, — DeepSeek, Gemini, Qwen, GPT-5.4, Veo 3 и Kling.

Оператор не исключает, что в будущем этот сервис станет доступен и обычным пользователям.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Февральское обновление Windows 11 вызвало бесконечную перезагрузку
Новость
Февральское обновление Windows 11 вызвало бесконечную переза...
УБК МВД накрыло канал с торговлей персональными данными
Новость
УБК МВД накрыло канал с торговлей персональными данными
Ростелеком опроверг использование белых списков для домашнего интернета
Новость
Ростелеком опроверг использование белых списков для домашнег...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.