Af Eskil Sørensen, 25/11/24
MITER Corporation har opdateret sin liste over de mest farlige softwaresårbarheder. Sådan kaldes listen, der, som afspejler de seneste tendenser i trusselslandskabet inden for cybersikkerhed.
Listen, der er omtalt i Security Week, Bleeping Computer og en række andre medier, indeholder de mest almindelige og mest såkaldt virkningsfulde sårbarheder, som anvendes af trusselsaktører i angreb for at overtage systemer, stjæle følsomme oplysninger og på anden måde genere.
På toppen i år er cross-site scripting (XSS), hvilket den type sårbarhed på en webside, der giver en angriber mulighed for at afvikle programkode på vegne af en anden bruger. XXS bytter plads med out-of-bounds write, der er faldet til andenpladsen.
SQL-injection, sårbarheden i web-applikationer, der giver angribere mulighed for at afvikle databasekommandoer, beholder sin position på tredjepladsen, mens cross-site request forgery (CSRF), “path traversal” indtager hhv. fjerde og femtepladsen. “Out-of-bounds read” ligger på sjettepladsen, OS command injection på 7. pladsen og “Use after free” ligger nummer 8.
Listen er udarbejdet af MITER på baggrund af sårbarhedernes alvorlighedsgrad og deres hyppighed. Grundlaget er 31.770 CVE-numre, der er indrapporteret i 2023 og 2024. Ligesom sidste år er analysen lavet med fokus på sårbarheder i til CISA's katalog over kendte udnyttede sårbarheder.
Nye poster på CWE Top 25-listen for 2024 inkluderer eksponering af følsomme oplysninger på 14, op fra 30 sidste år, og ukontrolleret ressourceforbrug på 24, op fra 37 sidste år.
Links:
https://www.securityweek.com/mitre-updates-list-of-25-most-dangerous-sof...
https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25...