TechSpot praznuje 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Zakaj je pomembno: Inštitut za inženiring in razvoj sistemov domovinske varnosti vsako leto objavi seznam najpogostejših pomanjkljivosti programske opreme, ki vodijo do najbolj zlorabljenih ranljivosti programske opreme. V letu 2023 najhujši prestopniki prejšnjega leta še vedno zasedajo prva mesta na tem seznamu.
Zadnje opozorilo Agencije ZDA za kibernetsko varnost in varnost infrastrukture (CISA), agencije Ministrstva za domovinsko varnost, ki se ukvarja s kibernetsko varnostjo in varnostjo kritične infrastrukture, vsebuje posodobitev 25 najnevarnejših varnostnih pomanjkljivosti v izdelkih programske opreme. Seznam CWE Top 25 temelji na javnih podatkih o težavah s programsko opremo, odkritih v zadnjih dveh letih, ki osvetljujejo precej odvračajoče stanje kibernetske varnosti v ZDA.
Po navedbah korporacije MITER, ki govori v imenu CISA in DHS, je najpogostejše in najučinkovitejše pomanjkljivosti programske opreme na seznamu CWE Top 25 pogosto enostavno najti in izkoristiti. Te težave lahko povzročijo ranljivosti, ki jih je mogoče izkoristiti in napadalcem omogočijo prevzem sistemov, zrušitev strežnikov, krajo podatkov ali motnje aplikacij.
Leta 2023 ostaja prvo mesto za najslabšo izdajo CWE enako kot lani: zapisi izven meja (CWE-787). Ta vrsta težave s prekoračitvijo medpomnilnika se pojavi, ko programska rutina zapiše podatke izven meja medpomnilnika in prepiše sosednje pomnilniške lokacije. To lahko privede do poškodb podatkov, zrušitev ali izvajanja kode. Pisanje kode v jeziku, varnem za pomnilnik, kot je Rust, lahko znatno ublaži težavo.
Druga najpogostejša pomanjkljivost programske opreme na seznamu CWE je CWE-79, ki so hrošči skriptiranja na različnih mestih (XSS), povezani z nepravilno obdelavo uporabniškega vnosa v spletu. Tretji, CWE-89, je povezan z varnostnimi pomanjkljivostmi SQL Injection, še eno obliko napake pri vnosu. Letošnji CWE Top seznam temelji na podatkih iz 43.996 zapisov CVE o ranljivostih, odkritih med letoma 2021 in 2022.
Na četrtem mestu je Use After Free flaws (CW-416), ki je bil lani na sedmem mestu. Ta vedno bolj priljubljena napaka se nanaša na pomnilniške naslove, ki se še vedno uporabljajo, potem ko so osvobojeni, kar napadalcu omogoča, da izkoristi neprimerno vedenje in potencialno zruši operacijski sistem ali strežnik ali izvede zlonamerno kodo na daljavo.
CWE postajajo vse bolj razširjeni v razpravah o izpostavljenosti ranljivosti, saj se skupnost poskuša izogniti temeljnim vzrokom teh težav in varnostnim ranljivostim, ki bi jih lahko povzročile. Poleg seznama CWE Top naj bi MITER to poletje izdal vrsto člankov, ki podrobno opisujejo, kako je mogoče te informacije učinkoviteje uporabiti v varnostni skupnosti.