MITRE opdaterer liste over de mest kritiske hardware-sårbarheder

Eskil Sørensen
08.25.2025 13:05
Ny version af CWE MIHW-listen afspejler aktuelle trusler og fremhæver vedvarende svagheder i hardwaredesign, som kan kompromittere hele systemlag.

MITRE Corporation har offentliggjort en opdateret version af sin "CWE Most Important Hardware Weaknesses" (MIHW), som nu indeholder 11 centrale svagheder. Listen er revideret for at afspejle den aktuelle udvikling i hardware-sikkerhedslandskabet og kombinerer både ekspertvurderinger og datadrevne analyser.

Det skriver Security Week.

Den nye liste bevarer fem af de oprindelige svagheder fra 2021 og introducerer seks nye, herunder to der først blev tilføjet til CWE-databasen efter den oprindelige MIHW-liste. Fokusområderne inkluderer bl.a. ressourcegenbrug, debug-mode fejl og sårbarheder relateret til fault injection.

Topsvaghed: Følsomme data i genbrugte ressourcer

Øverst på listen står CWE-226: Sensitive Information in Resource Not Removed Before Reuse. Denne svaghed opstår, når hardware-ressourcer som hukommelse eller registre bliver genbrugt uden først at blive renset for følsomme data. Det kan føre til utilsigtet datatilgængelighed for mindre betroede processer. 

Fejlen er særlig relevant i scenarier, hvor en enhed skifter mellem strømtilstande, debug-mode eller brugerrettigheder, og understreger behovet for streng kontrol med tilstandsskift i hardware.

Vedvarende svagheder med systemisk betydning

Flere svagheder fra 2021-listen er stadig aktuelle, herunder:

  • CWE-1189: Improper Isolation of Shared Resources on System-on-a-Chip (SoC) 
  • CWE-1191: On-Chip Debug and Test Interface With Improper Access Control 
  • CWE-1256: Improper Restriction of Software Interfaces to Hardware Features 
  • CWE-1260: Improper Handling of Overlap Between Protected Memory Ranges 
  • CWE-1300: Improper Protection of Physical Side Channels 

MITRE fremhæver, at disse svagheder er både teoretisk betydningsfulde og praktisk udbredte, hvilket gør dem til vedvarende udfordringer for hardwareudviklere og sikkerhedsanalytikere.

MITRE advarer desuden om fem yderligere svagheder, som ikke er med i hovedlisten, men som stadig udgør alvorlige risici.

Listen er relevant for sikkerhedsprofessionelle, der arbejder med hardwaredesign, systemintegration og risikovurdering. Og den understreger behovet for at tænke sikkerhed ind fra starten og for at forstå, hvordan hardwarefejl kan påvirke hele systemets sikkerhed.

 

Læs mere

Information