MITRE公布新版危險軟體安全缺陷排行。(圖片來源/CWE)

管理包括資安在內等多個研發中心的美國非營利組織MITRE,在本周公布了這兩年最危險的25種軟體安全缺陷(Common Weakness Enumeration,CWE),占據第一名的是可能衍生出各種跨站程式攻擊(Cross-site scripting,XSS)的CWE-79。

CWE全名為通用缺陷列表,是由MITRE負責管理的National Cybersecurity FFRDC所贊助的專案,它把各種軟體漏洞分門別類,總計提供逾600種分類,與業者修補漏洞時所使用的「常見漏洞披露」(Common Vulnerabilities and Exposures,CVE)不同,CVE指的是軟體中的具體漏洞,而非只是分類。

其實CWE專案去年也曾發布2019年最危險的25種軟體缺陷,今年前25名的差異並不大,只是名次有些異動,MITRE說明,這是因為今年他們突顯了更具體的安全缺陷,使得那些較為抽象的漏洞類型排名下滑。此外,這些漏洞的排名主要是根據它們是否很容易被發現與攻陷,以及是否允許駭客完全掌控系統、竊取資料或阻止應用程式運作而定。

今年所列出的前五名最危險漏洞類別中,第一名為CWE-79,它肇因於在網頁生成的過程中,出現不當的中和輸入(Improper Neutralization of Input During Web Page Generation),而可能衍生出各種跨站程式攻擊,它在去年僅排名第二。

第二名則是CWE-787的越界寫入(Out-of-bounds Write)缺陷,指的是軟體會在預期的緩衝區之外寫入資料,一般可造成資料損毀、當掉,或是允許程式執行。CWE-787在去年的排名是第12。

第三名為CWE-20的不適當輸入驗證(Improper Input Validation),意指產品所接收到的輸入資料未經驗證,或是不適當地驗證了含有不安全內容的輸入資料。CWE-20與去年的排名一致。

第四名為CWE-125的越界讀取(Out-of-bounds Read)缺陷,亦即允許軟體讀取緩衝區以外的資料,通常可允許駭客讀取存放在記憶體中的機密資訊或是造成系統當掉。它在去年排名第五名,今年上升了一名。

第五名則是CWE-119,屬於記憶體緩衝區內不當的操作限制,這是因為特定語言容許直接取得記憶體區域,但並未自動確保這些記憶體緩衝區是有效的,可能造成在這些區域中的讀寫操作牽連到其它的變數、資料結構或內部程序資料,使得讀寫行為超越緩衝區界線,而讓駭客得以執行任意程式、變更控制流程、讀取機密資訊或導致系統當機。CWE-119是去年的第一名。

MITRE表示,2020 CWE Top 25是參考了2018年與2019年的美國國家漏洞資料庫(NVD),分析2.7萬個CVEs的特性與CVSS(常見漏洞評分系統)分數而成,以期客觀地了解現實世界中真正存在的軟體缺失,將讓專案管理員、安全研究人員或教育人員得以一窺當前的資安景況。


熱門新聞

Advertisement