CWE公布2019年最危險的25個軟體錯誤

專門分類軟體漏洞與缺陷的「通用缺陷列表」（Common Weakness Enumeration，CWE），在上個月列出了2019年最危險的25個軟體錯誤：2019 CWE Top 25，名列第一的是在記憶體緩衝區界限內操作的不當限制。而這也是CWE最近8年來首度更新該列表。

CWE目前是由美國國土安全部旗下的科學暨技術局（S&T）負責管理，並交由非營利的研發機構MITRE經營，上一次CWE公布該列表的時間是2011年。該列表主要是彙整了最常見也最嚴重的軟體錯誤，可能導致軟體出現重大安全漏洞，被視為改善網路安全彈性的重要工具。

名列第一的錯誤編號為CWE-119。根據CWE的說明，特定語言容許直接取得記憶體區域，但並未自動確保這些記憶體緩衝區是有效的，可能造成在這些區域中的讀寫操作牽連到其它的變數、資料結構或內部程序資料，使得讀寫行為超越緩衝區界線，而讓駭客得以執行任意程式、變更控制流程、讀取機密資訊或導致系統當機。

第二名的編號是CWE-79，是在網頁生成的過程中，出現不當的中和輸入（Improper Neutralization of Input During Web Page Generation），而可能衍生出各種跨站程式攻擊漏洞（Cross-site scripting，XSS）。

第三名的CWE-20指的是不當的輸入驗證。當軟體無法驗證輸入時，駭客就有機會以原本不被期待的形式輸入，將得以改變控制流，任意控制資源，或是執行任意程式。

過去CWE是透過調查及訪談資安專家而制定了該列表，但今年CWE團隊採用更客觀的方式，他們分析了這兩年來約2.5萬個安全漏洞，根據漏洞形成的原因來製作列表，也更能反應現實世界的問題。

儘管製作方法不同，但仍有8個嚴重的軟體錯誤同時出現在今年與2011年的CWE Top 25中，它們分別是CWE-79、CWE-89、CWE-352、CWE-22、CWE-78、CWE-732、CWE-434與CWE-798。