Правительство США опубликовало список 25 самых опасных уязвимостей ПО
03/07/23
Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях. Это передает Securitylab.
Список CWE Top 25 был подготовлен специалистами Института HSSEDI (Homeland Security Systems Engineering and Development Institute), работающего под эгидой Министерства внутренней безопасности и некоммерческой организации MITRE.
CWE (Common Weakness Enumeration) — это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.
Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей (National Vulnerability Database, NVD) за последние 2 календарных года. Также учитываются данные об уязвимостях, которые эксплуатировались злоумышленниками в реальных атаках, согласно Каталогу известных эксплуатируемых уязвимостей CISA ( Known Exploited Vulnerabilities, KEV ).
- Во главе рейтинга – запись за пределами границ, которая может привести к переполнению буфера и исполнению произвольного кода.
- На втором месте – межсайтовый скриптинг (XSS), который позволяет внедрять злонамеренный код на веб-страницы и похищать данные пользователей.
- На третьем месте – SQL-инъекция, которая дает возможность выполнять произвольные запросы к базам данных и получать доступ к конфиденциальной информации.
Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам