Опубликован список из 25 самых опасных уязвимостей ПО

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.


Изображение: Unsplash

Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness Enumeration).

В топ-25 попало большое количество уязвимостей, которые позволяют злоумышленникам полностью захватить контроль над компьютерными программами, выводить их из строя и похищать обрабатываемые в них данные. Список позволяет специалистам по информационной безопасности лучше понимать ландшафт угроз безопасности, но будет полезен также разработчикам ПО, тестировщикам и пользователям программных продуктов.

Методология исследования


Для составления списка специалисты MITRE использовали информацию об опубликованных уязвимостях (CVE, Common Vulnerabilities and Exposures), информацию о них из базы данных NVD (National Vulnerability Database), а также рейтинги опасности уязвимости CVSS (Common Vulnerability Scoring System). Был разработан уникальный алгоритм оценки распространенности и опасности уязвимостей.

Топ-3 опасных уязвимостей


Согласно отчету, наиболее опасной оказалась уязвимость под названием «Неверное ограничение операций внутри границ буфера памяти» (Improper Restriction of Operations within the Bounds of a Memory Buffer). Ошибка возникает, когда софт работает внутри выделенного буфера памяти, но при этом получает возможность читать или записывать данные и вне границ этого буфера. Эксплуатация этой уязвимости позволяет атакующим исполнять произвольный код, похищать критически важные данные и полностью выводить программные комплексы из строя.

На втором месте по опасности оказалась уязвимость с кодом CWE-79 — «Неверная нейтрализация ввода во время генерации веб-страницы» (Improper Neutralization of Input During Web Page Generation). Межсайтовое выполнение сценариев (XSS) — более привычное ее название. Уязвимости такого типа встречаются часто и могут приводить к серьезным последствиям из-за недостаточного контроля данных, которые пользователи вводят на страницах сайта.

На третьем месте уязвимость «Неверная валидация ввода» (CWE-20). Атакующий может составить специальный вредоносный запрос и система отреагирует на него, предоставив повышенные привилегии или доступ к критически важным данным.

Ниже полная таблица самых опасных уязвимостей по версии MITRE.



Другие актуальные киберугрозы


Рейтинг MITRE — не единственный источник информации об актуальных киберугрозах. Positive Technologies публиковала отчет об атаках на веб-приложения по итогам 2018 года. В тройку наиболее распространенных атак на веб-сайты вошли «Внедрение SQL-кода» (SQL Injection), «Выход за пределы каталога» (Path Traversal) и «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS).

Кроме того, эксперты Positive Technologies раз в квартал публикуют аналитические отчеты об актуальных киберугрозах. Так, во втором квартале 2019 года киберпреступники активно эксплуатировали уязвимость в почтовом сервере Exim (CVE-2019-10149). Ошибка используется по-разному: одни злоумышленники загружают с ее помощью софт для майнинга криптовалют, другие внедряют бэкдоры на почтовые серверы.

Больше аналитических материалов — на нашем сайте.
Источник: https://habr.com/ru/company/pt/blog/469687/


Интересные статьи

Интересные статьи

Независимо от того, сколько вложений компании-разработчики могут потратить на инструментарий и обучение своих разработчиков, «C++, по своей сути, не является безопасным языком», сказа...
Но если для интернет-магазина, разработанного 3–4 года назад «современные» ошибки вполне простительны потому что перед разработчиками «в те далекие времена» не стояло таких задач, то в магазинах, сдел...
Вступление Опубликовать приложение, не нарушив ни чьих прав, стало непростой задачей. За последние пару лет в Google Play добавилось множество новых правил и ограничений, причем некоторые из них...
Как бы просвещённое сообщество не ругало телевидение за негативное влияние на сознание, тем не менее, телевизионный сигнал присутствует практически во всех жилых (и во многих нежилых) помещен...
Некоторое время назад мне довелось пройти больше десятка собеседований на позицию php-программиста (битрикс). К удивлению, требования в различных организациях отличаются совсем незначительно и...