Af Eskil Sørensen, 03/07/23
MITRE har publiceret dette års liste over de 25 mest farlige sårbarheder, der har plaget software i løbet af de foregående to år. Der skriver Bleeping Computer.
Listen er lavet ud fra en analyse af 43.996 CVE-numre, som er udstillet i 2021 og 2022 på National Vulnerability Database med fokus på antallet af sårbarhedstyper, der ligger i CISA's Known Expabilities (KEV) katalog. Altså sårbarheder, som en kendt som værende under udnyttelse
Analysen er gennemført ud fra en metode, der kombinerer frekvensen (det antal gange, en CWE er hovedårsagen til en sårbarhed) med den gennemsnitlige 'sværhedsgrad' af hver af disse sårbarheder, når de udnyttes (målt ved CVSS-score). CWE står for Common Weakness Enumeration og er et udtryk for sårbarhedstypen. CVSS står for Common Vulnerability Scoring System og beskriver i praksis hvor nem en sårbarhed er at udnytte og hvilke muligheder, en udnyttelse giver.
Med andre ord er de sårbarheder, der optræder på MITREs top 25, ’farlige’ på grund af deres indvirkning og udbredelse i software udgivet i løbet af de sidste to år, som det fremgår af Bleeping Computers omtale.
Den fulde liste fremgår af Bleeping Computers artikel og Mitres hjemmeside. Top fem på listen ser ud som følger:
- Out-of-bounds Write (CWE-787)
- Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)
- Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
- Use After Free (CWE-416)
- Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') (CWE-78)
Out-of-bounds Write og Cross-site scripting har siden 2020 delt førstepladsen mellem sig.
Links:
https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html