MITRE 發布 2019 軟件缺陷 Top25
責編:gltian |2019-09-24 11:26:16列表包含可致嚴重軟件漏洞的最常見關鍵缺陷。
9 月 17 日,MITRE 公布《通用缺陷列表 (CWE) Top 25 最危險軟件錯誤》草稿,并在新聞發布中解釋稱,這是一份關于可致嚴重軟件漏洞的最普遍、最關鍵缺陷的列表。
在一份關于該列表的咨詢報告中, 網絡安全與基礎設施安全局 (CISA) 稱,攻擊者常能利用這些漏洞奪取受影響系統的控制權,盜取敏感數據,或者引發拒絕服務。用戶和管理員最好能查閱該列表,并了解 MITRE 建議實施的緩解措施。
該 Top 25 列表是可供軟件開發人員、測試員、客戶、項目經理、安全研究員和教育者探索軟件通用威脅的社區資源。今年,MITRE 團隊采用了新方法生成該列表:從美國國家漏洞數據庫 (NVD) 中抽取 CVE 相關數據,并將發生率和通用漏洞評分系統 (CVSS) 平均得分納入定級考慮。每個缺陷的發生率水平和危險程度都采用評分公式確定。
此前該列表都是通過匯聚多家企業的調查問卷回復,以及收集來自安全分析師、研究人員和開發者的反饋生成。調查中會讓行業專家提名自己認為最普遍或最重要的缺陷,并會使用 CVSS 的定制部分來確定每個缺陷的排名。
MITRE 表示,這種方法有很多優勢,但太費時費力,而且過于主觀。
2019 列表則動用了更細致、更具統計意義的過程,利用已報告漏洞的數據來衡量每個缺陷的危險程度。
MITRE 軟件保障主管 Drew Buttner 表示,他們想采用一種更客觀且基于現實世界的方法。2019 Top 25 列表包含從 2017 到 2018 的缺陷,反映 CWE 團隊修正數千個錯誤映射的 CVE 條目的努力。MITRE 計劃在 2020 列表中評估未來一年的映射。Buttner 指出,今年的 Top 25 列表是自 2011 年以來首度推出,但 MITRE 未來的目標是每年都推出一個新列表。
2019 頂級缺陷
今年的 Top 25 并不出人意外。很多頂級缺陷繼續出現在列表中,即便過了十年也依舊霸榜。雖然處在列表末端的缺陷讓位于新缺陷,榜首的幾個缺陷通常穩坐不動。
得分最高的缺陷是 CWE-119——緩沖區溢出,或稱 “內存緩沖區邊界內操作的不當限制”,分數 75.76。有些編程語言允許直接內存尋址,不自動確保內存地址對被引用的內存緩沖區有效,可導致讀/寫操作在鏈向數據結構或內部程序數據的內存地址上執行。攻擊者可由此執行惡意代碼、修改控制流、讀取敏感數據,或者直接搞崩系統。
Buttner 和 MITRE CWE 項目主管 Chris Levendis 預測,緩沖區溢出可能處于列表頂部,就像 2011 年那樣,而且這也是整個行業頗為熟知的缺陷了。
得分次高的是 CWE-79——跨站腳本,或稱 “網頁生成期間輸入不當中和”,分數 45.69。在置入后續以網頁形式提供給其他用戶的輸出前,軟件不中和,或者不當中和用戶可控的輸入。非受信數據可能進入 Web 應用并最終執行惡意腳本。
排第三的是 CWE-20——輸入不當驗證,軟件不驗證,或不當驗證可影響程序控制流或數據流的輸入。攻擊者可寫入應用未預期的輸入。可造成系統組件接收非預期輸入,引發任意代碼執行或控制流篡改。
軟件用戶可利用該 Top 25 列表,在購買軟件前衡量出品公司的安全操作。使用開源的用戶可以更好地了解開發者是否注意到這些缺陷,開發人員也能將此列表當作涵蓋應關注缺陷的 “優先級備忘錄”。
最起碼,作為軟件消費者是可以將此列表作為軟件安全性參考的。
CISA 咨詢報告:
MITRE 2019 CEW TOP 25:
https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html
CWE-79: