Новости Запись за пределами границ - самая опасная уязвимость в ПО по версии США

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.


lwmnxab32ulrs6ra8lb3aqow442sbk8n.jpg


Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях.

Список Для просмотра ссылки Войди или Зарегистрируйся был подготовлен специалистами Института HSSEDI (Homeland Security Systems Engineering and Development Institute), работающего под эгидой Министерства внутренней безопасности и некоммерческой организации MITRE.

CWE (Common Weakness Enumeration) — это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.

Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей ( Для просмотра ссылки Войди или Зарегистрируйся ) за последние 2 календарных года. Также учитываются данные об уязвимостях, которые эксплуатировались злоумышленниками в реальных атаках, согласно Каталогу известных эксплуатируемых уязвимостей CISA ( Для просмотра ссылки Войди или Зарегистрируйся ).

  • Во главе рейтингазапись за пределами границ , которая может привести к переполнению буфера и исполнению произвольного кода.
  • На втором месте – межсайтовый скриптинг ( XSS ), который позволяет внедрять злонамеренный код на веб-страницы и похищать данные пользователей.
  • На третьем местеSQL-инъекция , которая дает возможность выполнять произвольные запросы к базам данных и получать доступ к конфиденциальной информации.

Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам.

Американские агентства по кибербезопасности CISA и NSA Для просмотра ссылки Войди или Зарегистрируйся , что контроллеры управления базовой платой (BMC) — это слабое звено в системах критической инфраструктуры, которое может быть использовано злоумышленниками для получения доступа к сетям и данным.

BMC делает возможным удалённое управление и контроль компьютерами и серверами даже при выключенной системе. Однако из-за их высокого уровня привилегий и доступности из сети — эти устройства часто привлекают внимание злоумышленников, которые могут использовать их в качестве точки входа для различных кибератак.

Напомним, что популярный репозиторий для разработчиков NPM Для просмотра ссылки Войди или Зарегистрируйся , называемой «путаница в манифестах» (Manifest Confusion), которая подрывает доверие к пакетам и даёт возможность злоумышленникам прятать вредоносный код в зависимостях или выполнять злонамеренные скрипты при установке пакетов.
 
Источник новости
www.securitylab.ru

Похожие темы