圖片來源: 

wikipedia

專門分類軟體漏洞與缺陷的「通用缺陷列表」(Common Weakness Enumeration,CWE),在上個月列出了2019年最危險的25個軟體錯誤:2019 CWE Top 25,名列第一的是在記憶體緩衝區界限內操作的不當限制。而這也是CWE最近8年來首度更新該列表。

CWE目前是由美國國土安全部旗下的科學暨技術局(S&T)負責管理,並交由非營利的研發機構MITRE經營,上一次CWE公布該列表的時間是2011年。該列表主要是彙整了最常見也最嚴重的軟體錯誤,可能導致軟體出現重大安全漏洞,被視為改善網路安全彈性的重要工具。

名列第一的錯誤編號為CWE-119。根據CWE的說明,特定語言容許直接取得記憶體區域,但並未自動確保這些記憶體緩衝區是有效的,可能造成在這些區域中的讀寫操作牽連到其它的變數、資料結構或內部程序資料,使得讀寫行為超越緩衝區界線,而讓駭客得以執行任意程式、變更控制流程、讀取機密資訊或導致系統當機。

第二名的編號是CWE-79,是在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation),而可能衍生出各種跨站程式攻擊漏洞(Cross-site scripting,XSS)。

第三名的CWE-20指的是不當的輸入驗證。當軟體無法驗證輸入時,駭客就有機會以原本不被期待的形式輸入,將得以改變控制流,任意控制資源,或是執行任意程式。

過去CWE是透過調查及訪談資安專家而制定了該列表,但今年CWE團隊採用更客觀的方式,他們分析了這兩年來約2.5萬個安全漏洞,根據漏洞形成的原因來製作列表,也更能反應現實世界的問題。

儘管製作方法不同,但仍有8個嚴重的軟體錯誤同時出現在今年與2011年的CWE Top 25中,它們分別是CWE-79、CWE-89、CWE-352、CWE-22、CWE-78、CWE-732、CWE-434與CWE-798。


Advertisement

更多 iThome相關內容