MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Екатерина Быстрова 30 Июня 2023 - 10:23

...

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Организация MITRE опубликовала список из 25 наиболее опасных софтовых уязвимостей и багов, которые за последние два года докучали пользователям и компаниям по всему миру. ИБ-сообщество призывают обратить внимание на эти бреши.

MITRE добавила в список не только классические уязвимости, но и ошибки конфигурации, баги, некорректную имплементацию и т. п. Вот что пишет CISA:

«Все описанные бреши в софте приводят к серьёзным проблемам. Атакующие зачастую могут воспользоваться этими уязвимостями для получения контроля над целевой системой. С их помощью злоумышленными могут также украсть данные и вызвать сбои в работе приложений».

В процессе создания списка MITRE изучила 43 996 уязвимостей, описанных Национальным институтом стандартов и технологий США (NIST), и отталкивалась от степени опасности. Кроме того, учитывался каталог CISA Known Exploited Vulnerabilities (KEV).

«В конечном счёте мы создали формулу, которая использовалась для расчета степени опасности уязвимостей (учитывался и балл CVSS)», — объясняют в MITRE.

В списке действительно присутствуют бреши с высокой степенью риска, поскольку они затрагивают целый спектр программного обеспечения, выпущенного за последние два года. MITRE хочет, чтобы у сообщества было чёткое понимание в отношении тех или иных проблем софта. Список выглядит так:

Место	Идентификатор	Имя	Балл	Место в KEV	Место ранее
1	CWE-787	Out-of-bounds Write	63.72	70	0
2	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.54	4	0
3	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	34.27	6	0
4	CWE-416	Use After Free	16.71	44	+3
5	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	15.65	23	+1
6	CWE-20	Improper Input Validation	15.50	35	-2
7	CWE-125	Out-of-bounds Read	14.60	2	-2
8	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.11	16	0
9	CWE-352	Cross-Site Request Forgery (CSRF)	11.73	0	0
10	CWE-434	Unrestricted Upload of File with Dangerous Type	10.41	5	0
11	CWE-862	Missing Authorization	6.90	0	+5
12	CWE-476	NULL Pointer Dereference	6.59	0	-1
13	CWE-287	Improper Authentication	6.39	10	+1
14	CWE-190	Integer Overflow or Wraparound	5.89	4	-1
15	CWE-502	Deserialization of Untrusted Data	5.56	14	-3
16	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')	4.95	4	+1
17	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	4.75	7	+2
18	CWE-798	Use of Hard-coded Credentials	4.57	2	-3
19	CWE-918	Server-Side Request Forgery (SSRF)	4.56	16	+2
20	CWE-306	Missing Authentication for Critical Function	3.78	8	-2
21	CWE-362	Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')	3.53	8	+1
22	CWE-269	Improper Privilege Management	3.31	5	+7
23	CWE-94	Improper Control of Generation of Code ('Code Injection')	3.30	6	+2
24	CWE-863	Incorrect Authorization	3.16	0	+4
25	CWE-276	Incorrect Default Permissions	3.16	0	-5

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Мая 2025 - 19:14

Домашние пользователи Системы аутентификации Парольная защита (пароли)

На Госуслугах появится опция подтверждения смены пароля доверенным лицом

Набор средств защиты аккаунтов от мошенников на платформе «Госуслуги» будет дополнен механизмом подтверждения смены пароля доверенным лицом. Об этом заявил журналистам глава Минцифры РФ Максут Шадаев.

Новая функциональность будет доступна как опция. Ожидается, что она заработает в III квартале текущего года.

«При желании любой пользователь портала сможет наделить человека, которому доверяет, полномочиями дополнительно подтверждать смену пароля, — цитирует ТАСС слова министра. — Второй человек тоже должен иметь аккаунт на Госуслугах».

Учетные записи Госуслуг — привлекательная цель для мошенников: в них содержится множество персональных данных, и взлом открывает доступ к различным сервисам, в том числе финансовым, которые можно использовать по своему усмотрению, действуя от имени жертвы.

Одноразовые СМС-коды как дополнительная мера защиты аккаунтов далеко не всегда спасают: злоумышленники научились с успехом их получать, реализуя различные схемы обмана с использованием телефонной связи, а затем блокировать доступ жертве, изменяя пароль. Новая опция закроет эту возможность.

В этом месяце на Госуслугах был запущен сервис «Жизненная ситуация», объединивший все доступные на портале средства противодействия мошенничеству. Здесь также размещены рекомендации для тех, кто столкнулся с мошенниками, и инструкции на случай раскрытия конфиденциальных данных.

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Читайте также