压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

列表包含可致嚴(yán)重軟件漏洞的最常見(jiàn)關(guān)鍵缺陷。

9 月 17 日，MITRE 公布《通用缺陷列表 (CWE) Top 25 最危險(xiǎn)軟件錯(cuò)誤》草稿，并在新聞發(fā)布中解釋稱(chēng)，這是一份關(guān)于可致嚴(yán)重軟件漏洞的最普遍、最關(guān)鍵缺陷的列表。

在一份關(guān)于該列表的咨詢(xún)報(bào)告中， 網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 稱(chēng)，攻擊者常能利用這些漏洞奪取受影響系統(tǒng)的控制權(quán)，盜取敏感數(shù)據(jù)，或者引發(fā)拒絕服務(wù)。用戶(hù)和管理員最好能查閱該列表，并了解 MITRE 建議實(shí)施的緩解措施。

該 Top 25 列表是可供軟件開(kāi)發(fā)人員、測(cè)試員、客戶(hù)、項(xiàng)目經(jīng)理、安全研究員和教育者探索軟件通用威脅的社區(qū)資源。今年，MITRE 團(tuán)隊(duì)采用了新方法生成該列表：從美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù) (NVD) 中抽取 CVE 相關(guān)數(shù)據(jù)，并將發(fā)生率和通用漏洞評(píng)分系統(tǒng) (CVSS) 平均得分納入定級(jí)考慮。每個(gè)缺陷的發(fā)生率水平和危險(xiǎn)程度都采用評(píng)分公式確定。

此前該列表都是通過(guò)匯聚多家企業(yè)的調(diào)查問(wèn)卷回復(fù)，以及收集來(lái)自安全分析師、研究人員和開(kāi)發(fā)者的反饋生成。調(diào)查中會(huì)讓行業(yè)專(zhuān)家提名自己認(rèn)為最普遍或最重要的缺陷，并會(huì)使用 CVSS 的定制部分來(lái)確定每個(gè)缺陷的排名。

MITRE 表示，這種方法有很多優(yōu)勢(shì)，但太費(fèi)時(shí)費(fèi)力，而且過(guò)于主觀(guān)。

2019 列表則動(dòng)用了更細(xì)致、更具統(tǒng)計(jì)意義的過(guò)程，利用已報(bào)告漏洞的數(shù)據(jù)來(lái)衡量每個(gè)缺陷的危險(xiǎn)程度。

MITRE 軟件保障主管 Drew Buttner 表示，他們想采用一種更客觀(guān)且基于現(xiàn)實(shí)世界的方法。2019 Top 25 列表包含從 2017 到 2018 的缺陷，反映 CWE 團(tuán)隊(duì)修正數(shù)千個(gè)錯(cuò)誤映射的 CVE 條目的努力。MITRE 計(jì)劃在 2020 列表中評(píng)估未來(lái)一年的映射。Buttner 指出，今年的 Top 25 列表是自 2011 年以來(lái)首度推出，但 MITRE 未來(lái)的目標(biāo)是每年都推出一個(gè)新列表。

2019 頂級(jí)缺陷

今年的 Top 25 并不出人意外。很多頂級(jí)缺陷繼續(xù)出現(xiàn)在列表中，即便過(guò)了十年也依舊霸榜。雖然處在列表末端的缺陷讓位于新缺陷，榜首的幾個(gè)缺陷通常穩(wěn)坐不動(dòng)。

得分最高的缺陷是 CWE-119——緩沖區(qū)溢出，或稱(chēng) “內(nèi)存緩沖區(qū)邊界內(nèi)操作的不當(dāng)限制”，分?jǐn)?shù) 75.76。有些編程語(yǔ)言允許直接內(nèi)存尋址，不自動(dòng)確保內(nèi)存地址對(duì)被引用的內(nèi)存緩沖區(qū)有效，可導(dǎo)致讀/寫(xiě)操作在鏈向數(shù)據(jù)結(jié)構(gòu)或內(nèi)部程序數(shù)據(jù)的內(nèi)存地址上執(zhí)行。攻擊者可由此執(zhí)行惡意代碼、修改控制流、讀取敏感數(shù)據(jù)，或者直接搞崩系統(tǒng)。

Buttner 和 MITRE CWE 項(xiàng)目主管 Chris Levendis 預(yù)測(cè)，緩沖區(qū)溢出可能處于列表頂部，就像 2011 年那樣，而且這也是整個(gè)行業(yè)頗為熟知的缺陷了。

得分次高的是 CWE-79——跨站腳本，或稱(chēng) “網(wǎng)頁(yè)生成期間輸入不當(dāng)中和”，分?jǐn)?shù) 45.69。在置入后續(xù)以網(wǎng)頁(yè)形式提供給其他用戶(hù)的輸出前，軟件不中和，或者不當(dāng)中和用戶(hù)可控的輸入。非受信數(shù)據(jù)可能進(jìn)入 Web 應(yīng)用并最終執(zhí)行惡意腳本。

排第三的是 CWE-20——輸入不當(dāng)驗(yàn)證，軟件不驗(yàn)證，或不當(dāng)驗(yàn)證可影響程序控制流或數(shù)據(jù)流的輸入。攻擊者可寫(xiě)入應(yīng)用未預(yù)期的輸入。可造成系統(tǒng)組件接收非預(yù)期輸入，引發(fā)任意代碼執(zhí)行或控制流篡改。

軟件用戶(hù)可利用該 Top 25 列表，在購(gòu)買(mǎi)軟件前衡量出品公司的安全操作。使用開(kāi)源的用戶(hù)可以更好地了解開(kāi)發(fā)者是否注意到這些缺陷，開(kāi)發(fā)人員也能將此列表當(dāng)作涵蓋應(yīng)關(guān)注缺陷的 “優(yōu)先級(jí)備忘錄”。

最起碼，作為軟件消費(fèi)者是可以將此列表作為軟件安全性參考的。

CISA 咨詢(xún)報(bào)告：

https://www.us-cert.gov/ncas/current-activity/2019/09/17/2019-cwe-top-25-most-dangerous-software-errors

MITRE 2019 CEW TOP 25：

https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html

CWE-79：

https://cwe.mitre.org/data/definitions/79.html