Bazıları saldırganların bir sistemin kontrolünü ele geçirmesine izin verebilecek 25 “en tehlikeli” yazılım kusurunu detaylandıran bir liste henüz yayınlandı.
Bu liste, Amerika Birleşik Devletleri’nde Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından desteklenen ve Ulusal Güvenlik Sistemleri Mühendisliği ve Geliştirme Enstitüsü tarafından geliştirildi. GÖNYE. Ciddi güvenlik açıklarına yol açabilecek en sık ve kritik hataları derlemek için Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) verilerini kullanır.
“Bu liste, günümüzün en yaygın ve ciddi yazılım zayıflıklarını içeriyor. Genellikle bulması ve istismar edilmesi kolay olan bu zayıflıklar, saldırganların bir sistemin tam kontrolünü ele geçirmesine, verileri çalmasına veya uygulamaların çalışmasını engellemesine izin veren istismar edilebilir güvenlik açıklarına yol açabilir”, CWE’yi açıklar.
“Yazılımla uğraşan birçok profesyonel, CWE Top 25’i riski azaltmalarına yardımcı olacak pratik ve kullanışlı bir kaynak bulacaktır. Bunlar mimarlar, tasarımcılar, geliştiriciler, testçiler, kullanıcılar, proje yöneticileri, güvenlik araştırmacıları, eğitimciler ve standart kuruluşlarına katkıda bulunanlar olabilir. “diye not düştü.
Geçen yılla aynı
2022 İlk 25’i hesaplamak için kullanılan veri seti, MITRE’ye göre önceki iki takvim yılına ait toplam 37.899 CVE kaydı içeriyor.
2022 İlk 25 listesi ayrıca, CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’nun (KEV’ler) bir parçası olan veri kümesindeki CVE kayıtlarından alınan verilere dayanmaktadır.
İki ana güvenlik açığı geçen yılla aynı kalıyor: CWE-787 veya sınır dışı bellek yazma hatası ve siteler arası komut dosyası oluşturma hatası için CWE-79.
Ancak, SQL enjeksiyonu veya bir kategori olarak CWE-89, üçüncü sıraya sıçradı ve iki sıra gerileyerek üçüncü sıraya düşen CWE-125’in sınır dışı okuma için bellek kusurunun yerini aldı.
Dördüncü sırada, sıralamada hiçbir değişiklik olmaksızın, yanlış giriş doğrulaması için CWE-20 yer alırken, OS komut enjeksiyonu (CWE-78) bir sırayı altıncı sıraya düşürür.
Yedinci konumda, CWE-416’yı veya “boştan sonra kullan”ı buluyoruz. Yol geçişi güvenlik açıkları (CWE-22), siteler arası istek sahteciliği (CWE-352) ve tehlikeli bir dosya türünün (CWE-434) sınırsız indirilmesi ilk 10’u tamamlar.
Command Injection Flaws (CWE-77) listede sekiz sıra yükselerek 17. sıraya, Race Condition (CWE-362) ise 11 sıra yükselerek 22. sıraya yükseldi.
CWE listesindeki girişlerin her biri, kusurun ayrıntılı bir açıklamasına ve kamuya açıklanmış kusurların geçmişteki örneklerine sahiptir.
Kaynak : “ZDNet.com”